Уязвимости систем: 5.2. Общая характеристика уязвимостей информационной системы персональных данных / КонсультантПлюс

Содержание

Анализ уязвимостей — что это: разновидности угроз и их цели

#Информационная безопасность

Под анализом уязвимостей понимаются процессы, направленные на поиск любых угроз, уязвимых точек и рисков потенциального несанкционированного проникновения злоумышленников в ИС (информационную систему).

Уязвимость — слабый компонент ИС какой-либо организации. Угроза — возможность негативного воздействия со стороны злоумышленников, которое может повлечь компрометацию коммерческой и другой конфиденциальной информации. Третье лицо в таком анализе — злоумышленник, который использует уязвимости для реализации угроз.

Если присутствуют уязвимости, это негативно сказывается на работе всего предприятия, так как оно становится менее защищенным перед недобросовестными конкурентами, это упрощает работу злоумышленников по нанесению вреда и позволяет третьим лицам получить доступ к конфиденциальным данным.

Источник угрозы может быть как случайным, так и преднамеренным. Третий вариант — техногенные и природные факторы, которые никогда не стоит исключать.

У каждой угрозы есть свой список уязвимостей, с помощью которых злоумышленник может реализовать свои планы.

Аудит информационной безопасности

Анализ уязвимостей в области информационной безопасности (ИБ)

Эффективная ИБ обеспечивает не только защиту от кражи каких-либо данных из сети предприятия, но и финансовую защиту бизнеса в целом. Предприятия, которые хотят отличаться качественной ИБ, постоянно работают над предотвращением:

  • утечек любых корпоративных данных
  • удаленного редактирования защищенной информации
  • изменения уровня защиты от угроз, которые могут спровоцировать потерю доверия инвесторов, поставщиков, контрагентов и т. д.

Угрозы могут иметь несколько источников, поэтому очень важно своевременно их классифицировать и создать схему их анализа. Это позволит получить наибольший охват потенциальных уязвимостей в бизнес-процессах предприятия.

В ИБ крайне важно следовать четырем принципам:

  1. конфиденциальность
  2. целостность
  3. достоверность
  4. доступность

Разновидности анализируемых угроз

Чтобы провести качественный анализ уязвимостей информационной структуры, необходимо различать виды угроз, которые могут возникнуть в системе конкретной организации. Такие угрозы разделяются на отдельные классы.

1 класс. Потенциальный источник угрозы, который может находиться:

  • непосредственно в информационной системе (ИС)
  • в пределах видимости ИС (например, устройства для несанкционированной звукозаписи)
  • вне зоны видимости ИС (перехват данных в процессе их отправки куда-либо)

2 класс. Воздействие на ИС, которое может нести:

  • активную угрозу (троян, вирус)
  • пассивную угрозу (копирование конфиденциальной информации злоумышленником)

3 класс. Метод обеспечения доступа, который может быть реализован:

  • напрямую (кража паролей)
  • посредством нестандартных каналов связи (например, уязвимости операционной системы)

Главные цели атаки на ИТ-инфраструктуру компании:

  • получение контроля над ценными ресурсами и данными
  • организация несанкционированного доступа к корпоративной сети
  • ограничение деятельности предприятия в определенной области

Второй метод чаще всего реализуется по заказу недобросовестных компаний-конкурентов или политическими деятелями.

Что конкретно может нести угрозу информационной безопасности любого предприятия:

  • вредоносное программное обеспечение
  • мошенники-хакеры
  • инсайдеры-работники, действующие со злыми намерениями или по неосторожности
  • природные явления

Реализовать угрозу можно несколькими методами. Например, организовать перехват данных, оставить программную или аппаратную «закладку» или нарушить работу локальных беспроводных корпоративных сетей, организовать для инсайдеров доступ к инфраструктуре компании.

Оценка вероятности угроз

Для оценки вероятности наступления угрозы профессионалами применяется качественная шкала, состоящая из трех уровней. Рассмотрим их подробнее.

Уровень 1 — Н («низкая вероятность»)

Отличается минимальной вероятностью появления. У такой угрозы нет никаких предпосылок (прошлых инцидентов, мотивов) для того, чтобы она была реализована. Угрозы уровня Н, как правило, возникают не чаще, чем 1 раз в 5 – 10 лет.

Уровень 2 — С («средняя вероятность»)

У такой угрозы вероятность возникновения чуть выше, чем у предыдущей, потому, что в прошлом, к примеру, уже были подобные инциденты или известно, что атакующая сторона имеет планы по реализации такой угрозы. Угрозы с уровнем С приводят к реальным инцидентам примерно раз в год.

Уровень 3 — В («высокая вероятность»)

Угроза имеет высокие шансы на реализацию. В подтверждение тому — статистическая информация, наличие подобных инцидентов в прошлом, серьезная мотивация со стороны злоумышленников. Вероятная частота возникновения угроз уровня В — раз на неделю или чаще.

Методики анализа уязвимостей

Существует несколько способов, при помощи которых можно провести анализ уязвимостей системы. Один из них основан на вероятностной методике, и при его применении нужно опираться на следующие факторы:

    • потенциал злоумышленника (выявляется путем оценок экспертов)
    • источник угрозы (где возможна атака — в зоне видимости или за ее пределами)
    • метод воздействия (сетевой, аппаратный или социальный)
  • объект угрозы (корпоративные данные, средства для шифрования, передачи, работы с ними или сотрудники компании)

В процессе анализа уязвимостей в информационной системе крайне важно учитывать возможные места дислокации. Чтобы это реализовать, нужно оперативно обнаружить и устранить ошибки в операционной системе и программном обеспечении, а позже систематически устанавливать все патчи безопасности от разработчиков.

Анализ уязвимостей, которые связаны с неправильной настройкой защитных средств, должен проводиться регулярно. Идеальное решение — настроить непрерывный мониторинг ИС на предмет возникновения уязвимостей.
Отдельно от вышеописанного анализа в обязательном порядке необходимо проводить определенные мероприятия с рабочим персоналом компании: выдавать права доступа к данным и ресурсам, права на установку специализированного программного обеспечения, а также права на копирование информации и применение внешних носителей данных.

Обеспечение безопасности корпоративных систем: какими уязвимостями пользуются злоумышленники

Содержание


Введение


Корпоративная информационная система представляет собой сложную структуру, в которой объединены различные сервисы, необходимые для функционирования компании. Эта структура постоянно меняется — появляются новые элементы, изменяется конфигурация существующих. По мере роста системы обеспечение информационной безопасности и защита критически важных для бизнеса ресурсов становятся все более сложной задачей.


Для того чтобы выявить недостатки защиты различных компонентов и определить потенциальные векторы атак на информационные ресурсы, проводится анализ защищенности. Эффективный способ анализа — тестирование на проникновение, в ходе которого моделируется реальная атака злоумышленников. Такой подход позволяет объективно оценить уровень защищенности корпоративной инфраструктуры и понять, могут ли противостоять атакам применяемые в компании средства защиты.


В данном отчете представлены результаты проектов по анализу защищенности корпоративных информационных систем, выполненных в 2018 году специалистами Positive Technologies. Документ содержит обзор наиболее распространенных недостатков безопасности, практические примеры их эксплуатации и описание вероятных векторов атак, а также рекомендации по повышению уровня защищенности.


Сделанные выводы могут не отражать актуальное состояние защищенности информационных систем в других компаниях. Данное исследование проведено с целью обратить внимание специалистов по ИБ на наиболее актуальные проблемы и помочь им своевременно выявить и устранить уязвимости.


Резюме


Анализ защищенности сетевого периметра


  • Преодолеть сетевой периметр и получить доступ к ресурсам ЛВС было возможно в 92% проектов по внешнему тестированию на проникновение.
  • В половине компаний злоумышленник может преодолеть сетевой периметр за один шаг.
  • Уязвимости в коде веб-приложений — главная проблема на сетевом периметре. Три четверти векторов проникновения связаны с недостатками защиты веб-ресурсов.

Анализ защищенности внутренних ресурсов


  • Полный контроль над инфраструктурой удалось получить во всех проектах по внутреннему тестированию на проникновение.
  • Использование словарных паролей и недостаточная защита от восстановления учетных данных из памяти ОС — основные недостатки во внутренней сети.
  • Перехват учетных данных успешно эксплуатируется при внутреннем тестировании на проникновение. Ни одна из компаний, где проводился анализ сетевого трафика, не обеспечивает защиту от перехвата чувствительной информации.

Оценка осведомленности сотрудников


  • Каждый третий сотрудник рискует запустить вредоносный код на своем рабочем компьютере.
  • Каждый седьмой сотрудник может вступить в диалог со злоумышленником и выдать конфиденциальную информацию.
  • Каждый десятый сотрудник вводит учетные данные в поддельную форму аутентификации.

Анализ защищенности беспроводных сетей


  • Злоумышленник может подключиться к корпоративным беспроводным сетям во всех протестированных компаниях
  • В 63% систем из-за недостатков защиты беспроводных сетей был получен доступ к ресурсам ЛВС.

Исходные данные


Для подведения статистики за 2018 год были выбраны 33 работы по анализу защищенности корпоративных информационных систем из числа тех компаний, которые разрешили использовать обезличенные данные. Чтобы получить объективные результаты, мы отбирали наиболее информативные проекты. Так, в исследовании не учитываются работы, которые проводились на ограниченном числе узлов, поскольку они не отражают подлинного состояния защищенности системы. В итоговую выборку вошли российские и зарубежные компании из различных отраслей экономики, при этом большую часть составили промышленные, финансовые и транспортные компании.



Рисунок 1. Распределение исследованных систем по отраслям экономики

Анализ защищенности информационной системы проводится путем внешнего и внутреннего тестирования на проникновение. Во время работ воссоздаются условия, максимально приближенные к условиям реальной атаки: это позволяет сформировать корректную оценку уровня защищенности. В ходе внешнего тестирования моделируются действия потенциального злоумышленника, который не обладает привилегиями в рассматриваемой системе и действует из интернета. В этом случае перед экспертами ставится задача преодолеть сетевой периметр и получить доступ к ресурсам локальной сети. Внутреннее тестирование подразумевает, что нарушитель действует из сегмента локальной сети, а его целью является контроль над инфраструктурой или над отдельными критически важными ресурсами, которые определяет заказчик. В четверти компаний проводились оба вида работ — так называемое комплексное тестирование на проникновение.


Для некоторых заказчиков выполнялись анализ защищенности беспроводных сетей и оценка осведомленности персонала в вопросах информационной безопасности.



Рисунок 2. Виды проведенных работ

Общие результаты


При анализе защищенности наши эксперты выявляют различные уязвимости и недостатки механизмов защиты, которые можно разделить на четыре категории:


  • недостатки конфигурации;
  • отсутствие обновлений безопасности;
  • уязвимости в коде веб-приложений;
  • недостатки парольной политики.

Каждой уязвимости присваивается уровень риска (критический, высокий, средний или низкий), который рассчитывается в соответствии с системой классификации CVSS 3.0. Как и в прошлом году, практически во всех системах были обнаружены критически опасные уязвимости. В основном они связаны с недостатками парольной политики.



Рисунок 3. Максимальный уровень опасности уязвимостей (доля систем)Рисунок 4. Максимальный уровень опасности уязвимостей (доля систем)

Важно учитывать, что работы по тестированию на проникновение проводятся методом черного ящика, поэтому невозможно выявить все уязвимости, существующие в системе. В инфраструктуре каждой компании могли присутствовать недостатки защиты, обусловленные отсутствием своевременного обновления ПО, уязвимостями в коде веб-приложений и использованием словарных паролей, которые не были обнаружены в ходе анализа. Целью тестирования является не поиск всех без исключения недостатков системы, а получение объективной оценки уровня ее защищенности от атак нарушителей.


Результаты внешних тестов на проникновение


В 92% компаний удалось преодолеть сетевой периметр в рамках внешнего тестирования на проникновение


В 2018 году в рамках внешнего тестирования на проникновение удалось преодолеть сетевой периметр 92% компаний. В одном проекте доступ к ресурсам внутренней сети был возможен только с применением методов социальной инженерии.


В большинстве случаев проникнуть во внутреннюю сеть можно было несколькими способами. В среднем на одну систему приходилось два вектора, а максимальное число векторов проникновения, обнаруженных в одной системе, — пять. В половине компаний существовал способ преодолеть сетевой периметр всего за один шаг; как правило, он заключался в эксплуатации уязвимости в веб-приложении.


5 — максимальное число векторов проникновения, обнаруженных в одной системе



Рисунок 5. Кратчайший путь преодоления сетевого периметра (доля систем)

Три четверти векторов оказались связаны с недостаточной защитой веб-приложений: это основная проблема на сетевом периметре. При этом, если вектор состоял из нескольких шагов, на каждом шаге могли эксплуатироваться уязвимости разного типа. Типовой сценарий атаки — подбор словарной учетной записи пользователя вебприложения и последующая эксплуатация уязвимости, возникшей из-за ошибок в коде веб-приложения, например возможности загрузки на сервер произвольных файлов.



Рисунок 6. Векторы проникновения во внутреннюю сетьРисунок 7. Уязвимости веб-приложений, позволившие преодолеть сетевой периметр (доли векторов)

Рекомендации


Регулярно проводить анализ защищенности веб-приложений. Чем сложнее вебприложение и чем больше у него различных функций, тем выше вероятность того, что разработчики допустили в коде ошибку, которая позволит злоумышленнику провести атаку. Частично такие ошибки выявляются в рамках тестирования на проникновение, но наибольшее их число может быть выявлено только при проверке приложения методом белого ящика, подразумевающим анализ исходного кода. Для исправления уязвимостей обычно требуется внести изменения в код, на что может потребоваться значительное время. Чтобы сохранить непрерывность бизнес-процессов, рекомендуется применять межсетевой экран уровня приложений (web application firewall), который не позволит эксплуатировать уязвимость, пока ее не устранили, а также защитит от новых и еще не найденных уязвимостей.


Прочие векторы состояли преимущественно в подборе словарных паролей к различным системам — Outlook Web App (OWA), VPN-серверам и рабочим станциям, а также в использовании недостатков конфигурации сетевого оборудования. Преодоление периметра потенциально возможно и через устаревшие версии ПО, которые содержат уязвимости, позволяющие получить контроль над сервером. Для многих таких уязвимостей есть общедоступные эксплойты, но их эксплуатация может нарушить работу систем, поэтому заказчики, как правило, не соглашаются на проведение подобных проверок в рамках тестирования на проникновение.




Пример эксплуатации


  • Словарные пароли пользователей

В ходе тестирования на проникновение обнаружено, что для доступа к сервису OWA используется доменная учетная запись test:test1234. Подключившись к OWA, наши эксперты загрузили автономную адресную книгу (Offline Address Book), где содержатся идентификаторы пользователей домена. Подобрав словарный пароль к учетной записи одного из пользователей, эксперты подключились к шлюзу удаленных рабочих столов (RDG) и по протоколу RDP получили доступ к компьютеру сотрудника и внутренней сети.



Рисунок 8. Вектор проникновения, основанный на подборе словарных учетных записей

Пример эксплуатации


  • Интерфейс управления оборудованием доступен из внешних сетей
  • Словарные пароли пользователей
  • Использование уязвимой версии ПО. Выполнение произвольного кода

Один из распространенных вариантов проведения успешных атак в рамках тестирования — обнаружение на сетевом периметре интерфейсов систем, которые должны быть доступны исключительно из внутренней сети. Несколько лет подряд мы сталкиваемся с некорректной настройкой и уязвимостями в системах видеонаблюдения, и 2018 год не стал исключением. Можно было не только просматривать видео с камер, но и выполнить произвольный код из-за устаревшей версии прошивки видеорегистратора, причем одна из уязвимостей (CVE-2013-0143) была опубликована пять лет назад. Этот пример показывает, как важно правильно определять границы сетевого периметра и следить за состоянием защищенности каждого компонента системы.



Рисунок 9. Эксплуатация уязвимостей в системе видеонаблюдения

Десятка наиболее распространенных уязвимостей на сетевом периметре мало изменяется из года в год. Ранее мы отмечали существенное снижение доли компаний, где были выявлены словарные пароли, но в этом году они вернулись на первые строки рейтинга. Все еще широко распространено использование открытых протоколов передачи данных, в том числе для доступа к интерфейсам администрирования. Злоумышленник может перехватить учетные данные, передаваемые по открытым протоколам без использования шифрования, и получить доступ к соответствующим ресурсам. Более чем в половине систем внешнему нарушителю доступны интерфейсы удаленного доступа, управления оборудованием и подключения к СУБД.


Рекомендации


Ограничить количество сервисов на сетевом периметре, убедиться в том, что открытые для подключения интерфейсы действительно должны быть доступны всем интернет-пользователям. Регулярно проводить инвентаризацию ресурсов, доступных для подключения из интернета. Уязвимости могут появиться в любой момент, поскольку конфигурация инфраструктуры постоянно меняется, в ней появляются новые узлы, новые системы, и не исключены ошибки администрирования.


Отказаться от использования простых и словарных паролей, разработать строгие правила для корпоративной парольной политики и контролировать их выполнение.



Рисунок 10. Наиболее распространенные уязвимости на сетевом периметре (доля систем)

19 лет назад была опубликована самая старая из обнаруженных уязвимостей (CVE-1999-0024)


На ресурсах сетевого периметра часто хранятся в открытом виде важные данные, которые помогают злоумышленнику развить атаку. Это могут быть резервные копии веб-приложений, конфигурационная информация о системе, учетные данные для доступа к критически важным ресурсам или идентификаторы пользователей, к которым злоумышленник может подобрать пароль.



Рекомендации


Убедиться, что в открытом виде (например, на страницах веб-приложения) не хранится чувствительная информация, представляющая интерес для злоумышленника. К такой информации могут относиться учетные данные для доступа к различным ресурсам, адресная книга компании, содержащая электронные адреса и доменные идентификаторы сотрудников, и т. п. Если у компании не хватает ресурсов, чтобы выполнить такие проверки собственными силами, то мы рекомендуем привлекать сторонних экспертов для тестирования на проникновение.



Актуальной остается и проблема несвоевременного обновления ПО. Чаще всего мы выявляем уязвимые версии прикладного ПО, веб-серверов и веб-приложений, поставляемых вендорами.




Пример эксплуатации


  • Использование уязвимой версии ПО. Обход аутентификации
  • Использование уязвимой версии ПО. Выполнение произвольного кода

В ходе внешнего тестирования на проникновение на сетевом периметре компании была обнаружена устаревшая версия Cisco TelePresence Video Communication Server. Эта версия уязвима для атаки, направленной на обход аутентификации (CVE-2015- 0653). В результате эксплуатации этой уязвимости был получен доступ к веб-интерфейсу администрирования.


Веб-интерфейс администрирования содержит встроенную функцию загрузки обновлений, которую можно использовать для выполнения команд на сервере. Для этого создается архив, содержащий набор команд на языке командного интерпретатора shell. Архив загружается на сервер в качестве файла с обновлениями, и в результате злоумышленник получает возможность выполнять произвольные команды.


На сервере был выявлен интерфейс внутренней сети, следовательно, дальше злоумышленник может развивать атаку на ресурсы ЛВС.



Рисунок 11. Выполнение команды id с информацией о текущем пользователе на сервере

Рекомендации


Своевременно устанавливать обновления безопасности для ОС и последние версии прикладного ПО. Обеспечить регулярный контроль появления ПО с известными уязвимостями на периметре корпоративной сети.



Результаты внутренних тестов на проникновение


Во всех исследуемых системах был получен полный контроль над внутренней инфраструктурой. В среднем для этого требовалось четыре шага. Типовой вектор атаки строится на подборе словарных паролей и восстановлении учетных записей из памяти ОС с помощью специальных утилит. Повторяя эти шаги, злоумышленник перемещается внутри сети от одного узла к другому вплоть до обнаружения учетной записи администратора домена.



Рекомендации


Обеспечить защиту инфраструктуры от атак, направленных на восстановление учетных записей из памяти ОС. Для этого на всех рабочих станциях привилегированных пользователей, а также на всех узлах, к которым осуществляется подключение с использованием привилегированных учетных записей, установить Windows версии выше 8.1 (на серверах — Windows Server 2012 R2 или выше) и включить привилегированных пользователей домена в группу Protected Users. Кроме того, можно использовать современные версии Windows 10 на рабочих станциях и Windows Server 2016 на серверах, в которых реализована система Remote Credential Guard, позволяющая изолировать и защитить системный процесс lsass.exe от несанкционированного доступа.


Обеспечить дополнительную защиту привилегированных учетных записей (в частности администраторов домена). Хорошей практикой является использование двухфакторной аутентификации.




Рисунок 12. Наиболее распространенные уязвимости внутренней сети (доля систем)

Во всех 100% исследуемых системах получен полный контроль над внутренней инфраструктурой


Анализ сетевого трафика проводился в 78% компаний. В каждой из них присутствовали те или иные недостатки, которые позволяли перехватывать информацию, передаваемую по сети. Например, в 86% проанализированных систем отсутствовала защита протоколов NBNS и LLMNR. Злоумышленник может перехватить идентификаторы и хеш-суммы паролей пользователей с помощью атак NBNS Poisoning и LLMNR Poisoning, а затем подобрать пароли по полученным хеш-суммам.



Рисунок 13. Перехват учетных данных пользователей путем атак NBNS Poisoning и LLMNR Poisoning

Рекомендации


Отключить не используемые в ЛВС протоколы канального и сетевого уровня. Если эти протоколы требуются для работы каких-либо систем, следует выделить для них отдельный сегмент сети, к которому нет доступа из пользовательского сегмента.



Во внутренней инфраструктуре компаний чаще всего встречались уязвимые версии ОС: они были выявлены в 44% протестированных систем. Отсутствие обновлений, особенно связанных с устранением критически опасных уязвимостей, помогает злоумышленнику развивать атаку внутри сети. Например, в каждой третьей системе была обнаружена уязвимость, описанная в бюллетене безопасности MS17-010, для эксплуатации которой еще в 2017 году был опубликован эксплойт EternalBlue. На отдельных узлах удавалось повысить привилегии с помощью уязвимостей, описанных в MS17-018, и CVE-2016-5195 (DirtyCow).



Пример эксплуатации


  • Недостаточная защита от восстановления учетных данных из памяти ОС
  • Уязвимые версии ПО. Удаленное выполнение произвольного кода (MS17-010)

Во время внутреннего тестирования на проникновение в результате эксплуатации уязвимости MS17-010 был получен доступ к серверу под управлением Windows Server 2012 R2. Эта версия ОС позволяет обеспечить защиту от восстановления учетных данных, но для этого привилегированные пользователи домена должны быть включены в группу Protected Users; это условие не было выполнено. На узле была запущена утилита mimikatz, и были получены из памяти ОС идентификаторы и пароли пользователей в открытом виде.


Среди извлеченных данных находился пароль учетной записи, которая обладает привилегиями локального администратора на серверах Microsoft Hyper-V. Одна из основных особенностей среды виртуализации на базе Hyper-V — это возможность скопировать жесткий диск виртуальной машины без ее выключения. Наши эксперты скопировали диск виртуальной машины, на которой был запущен контроллер домена. С этого диска были выгружены файлы ntds.dit и SYSTEM, а затем с помощью ПО secretsdump.py (из общедоступного набора Impacket) извлечены NTLM-хеш-суммы пользователей домена, в том числе NTLM-хеш-сумма пароля пользователя krbtgt.



Рисунок 14. Получение хеш-суммы пароля пользователя krbtgt

Наличие NTLM-хеш-суммы пароля пользователя krbtgt позволяет провести атаку «Золотой билет Kerberos». Протокол Kerberos базируется на предоставлении билетов доступа к ресурсам доменной инфраструктуры. Привилегии служебной учетной записи krbtgt позволяют предоставить билеты Kerberos с любым уровнем доступа и обращаться к ресурсам с максимальными привилегиями. C помощью утилиты ticketer.py из набора Impacket был сгенерирован golden ticket и получена возможность выполнять команды ОС на контроллере домена с максимальными привилегиями.


Чтобы ликвидировать последствия атаки «Золотой билет Kerberos» потребуется не только дважды сбросить пароль служебной учетной записи krbtgt, но и переустановить все системы доменной инфраструктуры.




Результаты оценки осведомленности сотрудников в вопросах ИБ


Социальная инженерия — один из самых популярных и успешных способов проникновения во внутреннюю сеть компании. Поэтому в дополнение к работам по тестированию на проникновение важно проводить проверки осведомленности сотрудников в вопросах информационной безопасности. Работы выполняются по заранее согласованным сценариям, которые имитируют реальную атаку злоумышленника.


2639 электронных писем отправлено в 2018 году в рамках работ по оценке осведомленности пользователей


Проверки осуществляются путем телефонного взаимодействия и рассылки электронных писем. В телефонном разговоре предпринимаются попытки узнать у пользователей ту или иную ценную информацию. Электронные письма содержат вложенные файлы или ссылку на веб-ресурс, где требуется ввести учетные данные. В ходе проверки фиксируется реакция сотрудников: факты перехода по ссылке, ввода учетных данных или запуска вложения.


Почти треть пользователей перешла по ссылке или запустила приложенный файл, а каждый десятый сотрудник ввел свои учетные данные в фальшивую форму аутентификации. Заметная доля пользователей (14%) раскрыли конфиденциальную информацию в разговоре по телефону или вступили в переписку с условным злоумышленником, сообщив при этом дополнительные сведения о компании: имена и должности сотрудников, номера внутренних и мобильных телефонов.



Рисунок 15. Результаты оценки осведомленности сотрудников

Рекомендации


С целью выявления и предотвращения атак методами социальной инженерии рекомендуется использовать специализированное антивирусное ПО со встроенной изолированной средой («песочницей») для динамической проверки файлов, способное выявлять и блокировать вредоносные файлы в корпоративной электронной почте до момента их открытия сотрудниками. Наиболее эффективным будет использование антивирусного ПО, построенного на решениях одновременно нескольких вендоров, способного обнаруживать скрытое присутствие вредоносных программ и позволяющего выявлять и блокировать вредоносную активность в различных потоках данных — в почтовом, сетевом и веб-трафике, в файловых хранилищах, на веб-порталах. Важно, чтобы выбранное решение позволяло проверять файлы не только в реальном времени, но и автоматически анализировало уже проверенные, это позволит выявить не обнаруженные ранее угрозы при обновлении баз сигнатур.


Регулярно проводить обучение сотрудников, направленное на повышение их компетенции в вопросах информационной безопасности, с контролем результатов.



Результаты анализа защищенности беспроводных сетей


Беспроводные сети являются потенциальным вектором проникновения во внутреннюю инфраструктуру компании. Злоумышленнику достаточно установить на ноутбук общедоступное ПО для атак на беспроводные сети и приобрести недорогой модем, который может работать в режиме мониторинга трафика. В семи из восьми протестированных систем беспроводные сети были доступны за пределами контролируемой зоны, а значит, злоумышленник мог бы проводить атаки, просто находясь на близлежащей территории, например на парковке рядом с офисом или в кафе на цокольном этаже здания.


Почти во всех сетях использовался протокол WPA2 с методами аутентификации PSK или EAP.


В 5 из 8 систем получен доступ к ЛВС через беспроводные сети


В 4 из 8 систем атаку удалось развить до получения максимальных привилегий в доменной инфраструктуре



Рисунок 16. Методы аутентификации в беспроводных сетях

В одной промышленной компании через беспроводную сеть получен доступ к ресурсам АСУ ТП


В зависимости от используемого метода аутентификации проверяется возможность реализации разных типов атак. Для WPA2/PSK проводится перехват рукопожатия между точкой доступа и легитимным клиентом точки доступа с последующим подбором паролей методом перебора. Успех этой атаки обусловлен сложностью пароля. В ходе проверок было установлено, что словарные ключи для подключения к беспроводной сети используются в половине систем.


Другой способ атаки — создание поддельной точки доступа — применяется для любого метода аутентификации. Если при подключении к беспроводной сети не производится проверка подлинности сертификатов, то злоумышленник может создать поддельную точку доступа с идентичным названием сети (ESSID) и более мощным сигналом, чем у оригинальной. В случае подключения клиента к этой точке доступа злоумышленник получает его идентификатор в открытом виде и значение NetNTLM v1 challenge-response, с помощью которого может подобрать пароль методом перебора.


Проверка сертификатов отсутствовала в трех системах. Если она все же осуществляется, то злоумышленник может взять название известной публичной точки доступа. Например, среди жителей Москвы популярна сеть MT_FREE, которая развернута в городском общественном транспорте. Даже если оригинальная точка доступа использует механизмы защиты, поддельная сеть может быть открытой и подключение к ней пройдет незаметно для пользователя. В более общем случае возможно проведение так называемой KARMA-атаки. Многие устройства пользователей отправляют запросы с целью найти ранее сохраненные беспроводные сети. Злоумышленник может создавать поддельные открытые точки доступа, представляясь той сетью, название которой содержится в запросе. Такие атаки применяются в совокупности с использованием ложной формы аутентификации, оформленной в корпоративном стиле. При подключении к сети пользователь перенаправляется на страницу с формой аутентификации, где ему предлагается ввести корпоративную учетную запись. Результат атаки зависит от того, насколько сотрудники компании осведомлены в вопросах информационной безопасности.



Рисунок 17. Проведение KARMA-атаки с использованием фишинговой формы аутентификации

В 7 из 8 систем не обеспечивается изоляция пользователей


Для гостевой сети важно, чтобы обеспечивалась изоляция пользователей, а сотрудники компании не пользовались ею с тех устройств, с которых подключаются к корпоративным беспроводным сетям. Злоумышленник, получивший доступ к гостевой сети, где нет изоляции, сможет атаковать пользователей и получить в открытом виде пароли от других точек доступа Wi-Fi, если сотрудник сохраняет их для автоматического подключения. В результате злоумышленник получит пароль от корпоративной сети без атаки на нее.



Рекомендации


Для повышения безопасности гостевой сети необходимо использовать надежные механизмы шифрования (WPA2). Важно обеспечить изоляцию пользователей точки доступа, а также запретить ее использование сотрудниками компании. Гостевую сеть необходимо отделять от ресурсов ЛВС.


Корпоративная сеть должна быть защищена стойким паролем. Нужно ограничивать зону ее действия так, чтобы она не была доступна за пределами контролируемой зоны. На устройствах сотрудников следует настроить проверку подлинности сертификатов при подключении к корпоративным сетям, чтобы исключить возможность успешного проведения атак с использованием поддельной точки доступа.


Необходимо повышать осведомленность сотрудников в вопросах информационной безопасности при пользовании беспроводными сетями. Для этого следует проводить периодические тренинги с контролем результатов.


Рекомендуется регулярно проводить анализ защищенности беспроводных сетей, чтобы выявлять ошибки конфигурации и потенциальные векторы проникновения во внутреннюю сеть.



Факты о словарных паролях


Словарные пароли чаще всего встречались у доменных учетных записей и при доступе к веб-приложениям — как на сетевом периметре, так и во внутренней инфраструктуре компаний.



Рисунок 18. Словарные пароли (доля систем)

Qwerty123 и другие сочетания близких клавиш остаются самыми популярными паролями


admin самый распространенный пароль среди привилегированных пользователей



Рисунок 19. Самые распространенные пароли (доля систем)

В некоторых компаниях мы выявляли пароли вида [месяц в английской раскладке + год], например Yjz,hm2018 (Ноябрь2018). В основном такие пароли устанавливаются по умолчанию, например для первого входа в систему, с тем, чтобы сотрудник впоследствии сменил пароль на более сложный. Однако зачастую пользователи забывают сменить пароль, а иногда выбирают подобные легко запоминаемые сочетания сознательно, полагая, что они обеспечивают достаточный уровень безопасности.


Заключение


Корпоративные информационные системы остаются уязвимыми для атак злоумышленников. С каждым годом увеличивается доля компаний, где удается получить доступ к ресурсам внутренней сети от лица внешнего злоумышленника. Использование методов социальной инженерии и эксплуатация недостатков защиты беспроводных сетей дополнительно повышают шансы на успешное преодоление сетевого периметра. Дальнейшее развитие атаки из сегмента внутренней сети уже второй год подряд приводит к получению полного контроля над инфраструктурой во всех протестированных системах.


Как правило, векторы атак основываются на эксплуатации известных недостатков безопасности и в большинстве своем не требуют от злоумышленника глубоких технических знаний. Для поддержания высокого уровня защищенности системы необходимо соблюдать общие принципы обеспечения информационной безопасности. Рекомендации по устранению наиболее распространенных уязвимостей приведены в данном отчете.


На сетевом периметре компаний основная проблема безопасности заключается в недостаточной защите веб-приложений. Следует регулярно проводить анализ защищенности веб-приложений, при этом наиболее эффективным методом проверки является метод белого ящика, подразумевающий анализ исходного кода. В качестве превентивной меры рекомендуется использовать межсетевой экран уровня приложений (web application firewall) для предотвращения эксплуатации уязвимостей, которые могут появляться при внесении изменений в код или добавлении новых функций.


Только своевременное выявление попыток атаки позволит предотвратить ее до того, как злоумышленник нанесет существенный ущерб компании, поэтому следует применять технические решения, направленные на обнаружение подозрительной активности. Для эффективного реагирования на инциденты информационной безопасности рекомендуется использовать системы управления, анализа и мониторинга событий безопасности (SIEM-системы), которые позволяют выявлять злонамеренную активность в сети, попытки взлома инфраструктуры, присутствие злоумышленника и помогают принимать оперативные меры по нейтрализации угроз.


В рамках тестирования на проникновение действия экспертов редко обнаруживаются службой безопасности компаний, следовательно, и реальные злоумышленники могут долгое время находиться в инфраструктуре и оставаться незамеченными. Поэтому важно не только защищать сетевой периметр, но и проводить регулярный ретроспективный анализ сети с целью выявить уже случившееся проникновение. Для поиска следов компрометации рекомендуется использовать специализированные средства глубокого анализа сетевого трафика, способные обнаруживать сложные целевые атаки как в реальном времени, так и в сохраненных копиях трафика. Такое решение даст возможность не только увидеть факты взлома, но и отслеживать сетевые атаки, в том числе запуск вредоносных утилит, эксплуатацию уязвимостей ПО и атаки на контроллер домена. Это позволит уменьшить время скрытного присутствия нарушителя в инфраструктуре и тем самым минимизировать риски утечки важных данных и нарушения работы бизнес-систем, снизить возможные финансовые потери.


Наши исследования свидетельствуют о низком уровне осведомленности пользователей в вопросах информационной безопасности, поэтому необходимо организовывать тренинги для сотрудников, с периодическим контролем результатов. Дополнительно рекомендуется использовать специальное антивирусное ПО, которое проверяет файлы в изолированной среде, выявляет присутствие вредоносных программ и помогает блокировать вредоносную активность.


Важно следовать всем рекомендациям в комплексе, так как даже отдельные пробелы в механизмах защиты могут послужить причиной взлома инфраструктуры и компрометации критически важных ресурсов. Рекомендуется регулярно проводить тестирование на проникновение, чтобы выявлять векторы атак на корпоративную систему и на практике оценивать эффективность принятых мер защиты.

Как устранить уязвимости систем?

.

Одной из основных причин успешных взломов и деструктивных действий хакеров в цифровой инфраструктуре является наличие в ней уязвимостей. Уязвимость – это особенность исполняемого кода, позволяющая выполнить в нем незапланированные разработчиком действия, например, встроить собственный исполняемый код или выполнить опасный запрос в систему, эскалировать привилегии, переполнить буфер оперативной памяти и т.п. Уязвимости присущи любому коду, от прикладного ПО до реализации процессорных вычислений (например, уязвимости Meltdown). Поэтому для организации безопасности цифровых информационных систем важна грамотно реализованная защита и устранение уязвимостей.

Самыми опасными уязвимостями являются в первую очередь незакрытые уязвимости. Когда обнародованная уязвимость получает код в базе данных общеизвестных уязвимостей информационной безопасности Common Vulnerabilities and Exposures (CVE), то стоит обратить внимание на ее рейтинг опасности – Common Vulnerability Scoring System (CVSS) Severity Rating. Рейтинг нумеруется от 0 до 10 и последние значения предполагают очень высокую степень опасности. Уязвимости с рейтингом 7.0–10.0 крайне желательно оперативно устранять.

Есть два принципиальных способа закрытия присущих программному окружению уязвимостей:

  • Установка обновления ПО с программной коррекцией для обнародованной уязвимости,
  • Использование механизмов так называемого «виртуального патчинга».

Как правило, с появлением и обнародованием CVE записи для уязвимости уже выпущены программные коррекции (patch). Поэтому наиболее простым путем улучшения защищенности цифровой среды является своевременное регулярное обновление всех ее компонент. В этом случае, как показывают некоторые исследования, более эффективна регулярная установка всех выходящих обновлений, чем только отслеживание обновлений безопасности и критических фиксов.

Но по ряду причин некоторые компоненты информационных систем бывает сложно или невозможно обновить. Или этот процесс занимает до нескольких месяцев. Соответственно, в этот период система будет уязвима для эксплоит под незакрытые уязвимости. В этом случае можно применить «виртуальный патчинг» – защита на основании сигнатур известных или предполагаемых эксплоит.

Механизмы «виртуального патчинга» применяются на разных уровнях цифровой среды: на внешнем или внутреннем периметре сети с помощью NGFW (или UTM, IPS) решений, на специализированных для защиты отдельных информационных систем шлюзах – WAF и т.д. Если на периметральных средствах защиты грамотно реализованы политики доступа, то доставка эксплоит для существующих в инфраструктуре уязвимостей сама по себе будет сложно решаемой для хакера задачей.

Например, для уязвимости EternalBlue (CVE-2017-0144) необходимо связаться с узлом жертвы по протоколу SMBv1, и, если данный трафик блокируется на уровне периметра сети средствами NGFW или IPS, то таким образом червь WannaCry не проникнет к вам в систему. Но доставка первого экземпляра эксплоита во внутреннюю сеть компании может произойти и другими путями. Поэтому, если уязвимость не устранена, шифровальщик распространится горизонтально в инфраструктуре.

Для определения уязвимостей в инфраструктуре используются сканеры типа Nesus Professional от Tenable, PT MaxPatrol 8 и др. Отдельно можно проверить исходный код приложений, если он доступен. Для этого используются решения типа PT Application Inspector, CheckMarx Static Code Analysis, Solar appScreener и другие сканеры исходного кода.

Использование этих решений в идеале должно быть встроено в процесс разработки на регулярной основе, равно как и обновление используемых open source программных пакетов и библиотек. Существует отдельный класс решений, позволяющий определить на основании анализа версий ПО в инфраструктуре, известных уязвимостей и политик ИБ средств защиты возможные векторы атак. Это системы типа SkyBox, RedSeal и др.

В дополнение к сигнатурным методам защиты работают поведенческие механизмы – средства анализа активности ПО на узле или сети, которые по попыткам доступа к системным файлам или реестру и другим характерным для вредоносного ПО действиям могут определить потенциальный эксплоит и предотвратить его злонамеренные действия. Так, для борьбы с эксплоитами нулевого дня для уязвимостей, у которых еще не существует исправлений, используются технологии превентивной защиты на основе анализа поведения подозрительных файлов в среде исполнения:

  • На сети при перехвате передачи вредоносного файла в инфраструктуру средствами периметральной защиты и передачи их на анализ в Sandbox-решения или «песочницу» – среду эмуляции стандартных пользовательских и серверных сред работы, где производится анализ файла на выполняемые им в системе действия.
  • На узлах сети через анализ активности файла уже непосредственно в системе, используя EDR-решения. Если файл осуществляет действия, характерные для вредоносного ПО и не характерные для типовых файлов используемого им расширения, то его выполнение приостанавливается.
  • На сети при перехвате передачи вредоносного файла в инфраструктуру средствами периметральной защиты и передачи их на анализ в Sandbox-решения или «песочницу» – среду эмуляции стандартных пользовательских и серверных сред работы, где производится анализ файла на выполняемые им в системе действия.
  • На узлах сети через анализ активности файла уже непосредственно в системе, используя EDR-решения. Если файл осуществляет действия, характерные для вредоносного ПО и не характерные для типовых файлов используемого им расширения, то его выполнение приостанавливается.

Ущерб от незакрытых уязвимостей выливается в успешные кибератаки, которые могут стать как причиной репутационных рисков, так и чисто экономических, например, простои в работе систем, от узлов работников компании и вплоть до АСУ ТП и промышленных систем. ИТ- и ИБ-отделы должны быть в данном случае заодно и конструктивно взаимодействовать, и там, где нет объективной возможности исправления ПО через установку программных коррекций, использовать альтернативные методы защиты и «виртуального патчинга». Не стоит забывать, что целью всех сотрудников, и ИТ, и ИБ, в компании является ее успешное бесперебойное функционирование.

Автор: Анна Михайлова, менеджер по развитию бизнеса группы компаний Angara.

Программные уязвимости | Энциклопедия «Касперского»

Термин «уязвимость» часто упоминается в связи с компьютерной безопасностью, во множестве самых различных контекстов.

В общем случае, уязвимость ассоциируется с нарушением политики безопасности, вызванным неправильно заданным набором правил или ошибкой в обеспечивающей безопасность компьютера программе. Стоит отметить, что теоретически все компьютерные системы имеют уязвимости. Но то, насколько велик потенциальный ущерб от вирусной атаки, использующей уязвимость, позволяет подразделять уязвимости на активно используемые и не используемые вовсе.

Предпринималось много попыток четко определить термин «уязвимость» и разделить два его значения. MITRE, исследовательская группа, финансируемая федеральным правительством США, занимающаяся анализом и разрешением критических проблем с безопасностью, разработала следующие определения:

Согласно терминологии MITRE CVE:

[…] Уязвимость — это состояние вычислительной системы (или нескольких систем), которое позволяет:

  • исполнять команды от имени другого пользователя;
  • получать доступ к информации, закрытой от доступа для данного пользователя;
  • показывать себя как иного пользователя или ресурс;
  • производить атаку типа «отказ в обслуживании».

Предпринималось много попыток четко определить термин «уязвимость» и разделить два его значения.

В MITRE считают, что атака, производимая вследствие слабой или неверно настроенной политики безопасности, лучше описывается термином «открытость» (exposure).

Открытость — это состояние вычислительной системы (или нескольких систем), которое не является уязвимостью, но:

  • позволяет атакующему производить сбор защищенной информации;
  • позволяет атакующему скрывать свою деятельность;
  • содержит возможности, которые работают корректно, но могут быть легко использованы в неблаговидных целях;
  • является первичной точкой входа в систему, которую атакующий может использовать для получения доступа или информации.

Когда хакер пытается получить неавторизованный доступ к системе, он производит сбор информации (расследование) о своем объекте, собирает любые доступные данные и затем использует слабость политики безопасности («открытость») или какую-либо уязвимость. Существующие уязвимости и открытости являются точками, требующими особенно внимательной проверки при настройке системы безопасности против неавторизованного вторжения.

рекомендации по выработке и проведению мер по исправлению ситуации

Назад к списку статей

Антон Свинцицкий,
руководитель отдела консалтинга
АО ДиалогНаука

При проведении анализа состояния информационной безопасности ИТ-инфраструктуры очень часто обнаруживаются множественные уязвимости, устранение которых существенно не отражается на общем уровне защищенности информации, так как недостаточно устранить выявленные уязвимости, необходимо скорректировать существующие процессы обеспечения информационной безопасности и внедрить эффективные механизмы контроля.

Классификация уязвимостей

Говоря об уязвимостях в ИТ-инфраструктуре компании, обычно рассматривают следующие виды уязвимостей:

  • технологические или архитектурные — отсутствие определенных механизмов, технологий обеспечения информационной безопасности;
  • организационные — отсутствие документированных требований, процессов обеспечения информационной безопасности;
  • эксплуатационные — уязвимости, связанные с недостатками в существующих компонентах ИТ-инфраструктуры.

Любой выбранный подход к классификации обнаруженных уязвимостей должен быть формализован во внутренних документах компании, например, можно взять за основу подход, описанные в российском стандарте ГОСТ P 56546—2015 «Защита информации. Уязвимости информационных систем». Можно также использоваться следующие параметры для классификации уязвимостей с целью приоритезации задач по их устранению:

  • критичность компоненты ИТ-инфраструктуры, на которых присутствует данная уязвимость;
  • критичность уязвимости;
  • потенциальные последствия;
  • наличие технологий, позволяющих эксплуатировать выявленную уязвимость.

Типовые уязвимости 2014-2015

В рамках работ по анализу ИТ-инфраструктуры, проведению тестирований на проникновение и аудитов информационной безопасности можно выделить следующие наиболее часто встречающиеся уязвимости:


эксплуатационные уязвимости:


1) Неподдерживаемые версии операционных систем и системного программного обеспечения (MS Windows XP, MS Windows Server 2003, PHP). Уязвимости данного типа могут привести к отказу в обслуживании, выполнению произвольного кода и/или раскрытию защищаемой информации.

2) Уязвимости веб-серверов (например, Apache HTTP Server), позволяющие атакующему провести атаку на отказ в обслуживании или выполнить произвольный код в уязвимой системе.

3) Использование небезопасных протоколов управления (например, telnet). Данный класс уязвимостей в большинстве случаев позволяет потенциальному злоумышленнику перехватить передаваемую аутентификационную информацию и получить доступ к уязвимому хосту. Для перехвата аутентификационной информации необходимо либо находиться на пути прохождения передаваемой аутентификационной информации, например, иметь доступ к оборудованию провайдера или каналу связи, или перенаправить траффик на себя, например, с помощью атак класса ARP Spoofing (локально) атак на сетевые протоколы маршрутизации или DNS (удаленно).

4) Использование небезопасных протоколов SSL и TLS может привести к перехвату передаваемой аутентификационной информации.

5) Слабые пароли WPA/WPA2-PSK. Данные уязвимости могут привести к получению несанкционированного доступа к беспроводной сети, а также к перехвату информации, передаваемой по незащищенным протоколам внутри беспроводной сети.

6) Использование протокола разрешения имен NetBIOS по TCP/IP (NBNS) и LLMNR может привести к перехвату передаваемой аутентификационной информации (паролей, хешей паролей и т. д.) между Windows хостами.

7) Межсайтовый скриптинг (XSS). Уязвимость класса Cross Site Scripting существует из-за недостаточного экранирования спецсимволов, выводимых веб-приложением. Удаленный злоумышленник может выполнить враждебный JavaScript код в контексте уязвимого домена и обойти существующие ограничения и перехватить сессионную информацию легитимного пользователя сервисов, расположенных в данном домене. Внедрение JavaScript кода возможно любым доступным в конкретном случае способом: на сетевом уровне или с помощью атак социальной инженерии.


организационные уязвимости:


1) Отсутствие контроля за процессами «Управление конфигурациями», «Управление изменениями», «Управление обновлениями». Отсутствие контроля над этими процессами обеспечения информационной безопасности может привести к возникновению новых эксплуатационных уязвимостей в ИТ-инфраструктуре.

2) Атаки через контрагентов и подрядных организаций. Очень часто компании отдают на аутсорсинг отдельные сервисы, такие как поддержка информационных систем или администрирование сетевой части ИТ-инфраструктуры. В таких случаях, получая несанкционированных доступ к корпоративных информационным системам подрядчиков, потенциальный злоумышленник может через такого подрядчика установить программы удаленного управления в защищаемую сеть, а в дальнейшем использовать технологии скрытых каналов (например, DNS covert channel) для управления и передачи информации конфиденциального характера на контролируемые им сервера.


технологические уязвимости:


1) Возможность подключения корпоративных устройств к незащищенным гостевых сегментам беспроводных сетей компании. При использовании корпоративных устройств в гостевых сегментах беспроводных сетей атакующий может перехватить аутентификационную информацию и получить несанкционированный доступ к защищаемой инфраструктуре и информации конфиденциального характера.

2) Неконтролируемые информационные потоки. Основной канал утечки защищаемой информации легитимными пользователями – использование внешних запоминающих устройств и внешних сервисов обмена информацией (почта, файловые хранилища). Также принося внешние накопители и подключая их к корпоративной информационной системе повышается риск заражения вредоносным программным обеспечением.


Устранение выявленных уязвимостей

При реализации мероприятий по устранению выявленных уязвимостей в первую очередь необходимо рассматривать возможность установки обновлений от производителей программного обеспечения, устраняющих обнаруженные эксплуатационные уязвимости.

Если отсутствует возможность обновления или обновление программного обеспечения не устраняет выявленную уязвимость, то в зависимости от выбранных параметров классификации уязвимостей (критичности уязвимости, потенциальным последствиям от ее реализации) должны быть выбраны дополнительные меры обеспечения информационной безопасности.

При выборе дополнительных мер обеспечения информационной безопасности нужно исходить из следующих основных предпосылок:

  • дополнительные меры должны в первую очередь относиться к процессам обеспечения информационной безопасности, а не к устранению конкретной проблемы;
  • дополнительные меры должны в первую очередь быть направлены на контроль состояния информационной безопасности;
  • средства защиты информации, реализующие дополнительные меры, должны быть направлены не только на автоматизацию процессов обеспечения информационной безопасности, но должны осуществлять функции контроля;
  • реализация дополнительных мер не должна привносить в защищаемую систему дополнительных уязвимостей.

Порядок выбора дополнительных мер отражен на рисунке



Устранение типовых выявленных уязвимостей

Для устранения типовых уязвимостей в большинстве случаев необходимо реализовать следующий комплекс мероприятий:


1) Управление конфигурациями. Конфигурация компонентов ИТ-инфраструктуры, в том числе средств защиты информации, должны отвечать требованиям корпоративной политики информационной безопасности. Со стороны ответственных за обеспечение информационной безопасности должны осуществляться мероприятия по контролю конфигураций компонентов на периодической основе.

2) Управление обновлениями. Ответственные за обеспечение информационной безопасности должны отслеживать и контролировать необходимость установки обновлений как общесистемного программного обеспечения, так и прикладного программного обеспечения.

3) Управление изменениями. Внесение существенных изменений в информационные системы должно сопровождается тестированием реализованных механизмов информационной безопасности. Существенными изменениями могут считаться: изменения мажорной версии системы или ее компоненты, изменения, касающиеся архитектуры системы, изменения состава или функционала средств защиты информации и другие.

4) Управление уязвимостями (в том числе отслеживание новых уязвимостей и оценка применимости атак, направленных на эксплуатацию такой уязвимости в существующей ИТ-инфраструктуре). Необходимо определить причины неэффективности существующего в настоящий момент в компании процесса управления уязвимостями. Внести соответствующие изменения в документы, формализующие порядок реализации и контроля процесса. Применение подхода, связанного с оценкой рисков, связанных с воздействием на ИТ-инфраструктуры через выявленные уязвимости и последствиями от таких воздействий.


Заключение

Выявление уязвимостей – периодический процесс, частота повторения которого должна зависеть как от критичности обрабатываемой в ИТ-инфраструктуре информации, так и от особенностей самой инфраструктуры. Устранение выявленных уязвимостей – это процесс постоянного совершенствования системы обеспечения информационной безопасности, реализация которого позволит как устранить существующие уязвимости, так и снизить вероятность возникновения новых.

Системный анализ безопасности


Анализ уязвимости — это процесс выявления уязвимых мест объекта, реализуемого на нем производственно-технологического процесса, существующей системы физической защиты; определения угроз, вероятных способов их осуществления и моделей нарушителей.


Производится разработка и фиксация в заданном формате характеристик объекта, которые в дальнейшем определяют его категорию, позволяют оценивать его текущую защищенность и планировать меры по ее поддержанию или усилению.


С 2001 года анализ уязвимости выполняет специализированное подразделение компании «Центр анализа уязвимости» (ЦАУ), впервые в России созданный в негосударственной организации, работающей в сфере безопасности. Отсутствие собственного опыта, ограниченные возможности изучения практики государственных отечественных структур и зарубежных специалистов, компенсировались поддержкой руководства компании и стремлением занять достойное место на новом направлении деятельности.


Поэтому его освоение проходило в условиях реальной работы — в рамках проведения научно-исследовательских работ и анализа уязвимости объектов. Самая первая оценка работы была дана зарубежными партнерами: «excellent!». Эта «планка» поддерживается все последующие годы работы ЦАУ.


С момента создания до настоящего времени проведено несколько десятков НИР по тематике работы Центра, выполнены анализ (оценка) уязвимости свыше трех тысяч объектов различного назначения и принадлежности.


Кадровое ядро Центра составляют специалисты, прошедшие и изучившие все предметные области экспертно-аналитической работы (ядерные объекты оборонного и энергетического назначения, объекты транспорта и транспортной инфраструктуры, ТЭК и др.) и ставшие универсалами самого широкого профиля, владеющими всеми методами анализа уязвимости, готовыми быстро и качественно выполнить работу любой сложности и объема.


АО «НПП «ИСТА-Системс» является аккредитованной специализированной организацией для ведомств, поддерживающих систему аккредитации в области анализа (оценки) уязвимости объектов.

«How-to»: 4 шага по сокращению уязвимостей

Наш эксперт по кибербезопасности – Александр Борисов, поделился своим use-case опытом, который поможет администраторам безопасности в их ежедневной работе.

Введение


Все специалисты по кибербезопасности, использующие сканеры уязвимостей, сталкиваются с проблемой при сканировании узлов своей инфраструктуры — количество уязвимостей стремится к бесконечности.


Рекомендации


Четыре шага, которые позволят сократить количество приоритетных уязвимостей с астрономических высот до адекватных чисел без высоких финансовых вложений.

ШАГ 1 – формируем критерии для уязвимостей, которые считаем самими важными.

Как понять, что является самым важным? Тут в голову приходит абстрактная модель злоумышленника: есть сетевой доступ к объекту, есть навыки по эксплуатации хотя бы частично описанных уязвимостей. Возьмем данную модель за основу и переходим к следующему шагу.

ШАГ 2 – определение базовых метрик уязвимости.

Базовые метрики — используются для описания основополагающих сведений об уязвимости — возможности эксплуатации уязвимости и воздействии уязвимости на систему.

У каждой известной уязвимости программного обеспечения имеется базовая метрика CVSS, в которой есть стандартизированное описание этой самой уязвимости.

Рассматривать описание всех базовых и временных метрик CVSSv2 и CVSSv3 не будем, об этом уже достаточно написано. Для любознательных, оставлю ссылки на первоисточник CVSSv2 и CVSSv3. Давайте остановимся на самых интересных метриках CVSS.

1. Метрика AV (Access Vector) – описывает возможный способ эксплуатации (сетевой, смежная сеть, локальный, физический).




Network/Adjacent Network (AV:N, AV:A) интересует нас в первую очередь т.к. предполагает сетевую доступность для злоумышленника. Локальную и физическую доступность рассматривать не будем. Если злоумышленник получил физический доступ к оборудованию, тут уже только чудо поможет. Если же получил локальный доступ, вариантов действий у злоумышленника так же довольно много, и они могут не предполагать дальнейшего повышения привилегий и локальной эксплуатации уязвимости.



2. Метрика Access Complexity (AC) – описывает сложность эксплуатации уязвимости (низкая, средняя, высокая). На мой взгляд, весьма полезная, но субъективная метрика.


Предлагаю рассматривать AC:L и AC:M, т.к в случае AC:H участвует довольно большое количество факторов, которые могут препятствовать успешной эксплуатации уязвимости.

3. Метрика Authentication (Au) – в CVSSv2 Authentication (Au) описывает требования к аутентификации (однократная, несколько раз, аутентификация не нужна). В CVSSv3 Privileges Required (PR) метрика претерпела изменения и показывает необходимые привилегии для эксплуатации уязвимости (высокие, средние и без привилегии).


Нам интересен следующий случай:

CVSSv2 Au:N – для эксплуатации аутентификация не нужна.

CVSSv3 Pr:N – для эксплуатации привилегии не нужны в системе.

Уязвимости, которые требуют аутентификации или привилегий в том или ином варианте предлагаю исключить т.к. они предполагают, что злоумышленник уже повысил себе привилегии или скомпрометировал УЗ.

4. Метрика User Interaction (UI) – появилась в CVSSv3 и описывает необходимость взаимодействия с пользователем (с взаимодействием, без взаимодействия).


Нам интересно только UI:N – уязвимость не требующая взаимодействия с пользователем. Уязвимости UI:R требуют элемента социальной инженерии. Данную категорию предлагаю исключить т.к. социальная инженерия всегда дает исключительные возможности для злоумышленника и без использования уязвимостей.

Итого по базовым метрикам:


Внимание должны привлекать уязвимости, попадающие под следующие критерии:

CVSSv2 AV:[NA]; AC:LM; Au:N

CVSSv3 AV:[NA]; AC:LM; Pr:N; UI:N

Какую итоговую метрику получаем? Посчитаем метрику при помощи калькулятора. Получаем детектирование потенциально опасной уязвимости от уровня 5.7 для CVSSv2:


ШАГ 3 – оценка временных метрик уязвимостей.

Временные метрики — при их оценке учитываются параметры, которые изменяются со временем, например, опасность уязвимости снижается с выходом официального обновления безопасности.

Из всех временных метрик нас будет интересовать только exploitability — возможности эксплуатации.


E:H – существует эксплойт (публично описан метод эксплуатации / общедоступны детали работы эксплойта) позволяющий эксплуатировать уязвимость в автоматизированном виде. №1 в списке на устранение т.к. может быть эксплуатирован в том числе и ВПО (компьютерные черви и вирусы).

E:F – Функциональный эксплойт существует, работает не всегда. Успешность зависит от окружения.

E:POC – стабильная эксплуатация эксплойта невозможна, уязвимость эксплуатируется в лабораторных условиях. Необходима доработка эксплойта для попыток реализовать атаку в боевой инфраструктуре. Несмотря на то, что в CVSSv2 предполагается что доработку эксплоитов может производить только злоумышленник обладающей серьезной компетенцией, такое исключать не стоит.

ND/X – тот случай, который нас не интересует, такие можно сразу исключать.

Итого по временным метрикам:

E:[H, F,POC] – наличие такой метрики явный сигнал к устранению уязвимости.

ШАГ 4 – проверка метрик по базе MITRE ATT&CK

MITRE ATT&CK – общедоступная база знаний о тактиках поведения киберпреступников, основанная на реальных наблюдениях.

База MITRE ATT&CK содержит указание на некоторые используемые уязвимости. Наличие уязвимости в матрице – достаточное условие для ее устранения, несмотря на возможное отклонение от подхода, описанного выше.

Уязвимости, вошедшие в MITRE ATT&CK, попадают туда в результате их использования в различных фреймворках, ВПО, известными хакерскими группировками, что дополнительно увеличивает интерес к данным уязвимостям злоумышленников и, как следствие, должно вызвать наше повышенное внимание.

Например, один из описанных методов — https://attack.mitre.org/techniques/T1068/ — повышение привилегий. В примере мы видим, что уязвимость CVE-2014-4076 была использована группировкой APT28. И хотя она имеет CVSSv2: (AV:L/AC:L/Au:N/C:C/I:C/A:C), что не подходит по метрике AV:L, использование данной уязвимости хакерами является основанием для включения ее в список на устранение.

Ниже мои рекомендации для CVSSv2 и для CVSSv3, что выбирать и с чем работать – вопрос личных предпочтений, уже имеющихся скриптов, настроенных интеграций и т.д.

1. Первая очередь

CVSS = 9-10

Временная метрика для CVSSv2 E:[H,F,POC]

Временная метрика для CVSSv3 E:[H,F,P]

2. Вторая очередь

Базовая метрика:

Для CVSSv2 AV:[N,A]/AC:[LM]/AU:N

Для CVSSv3 AV:[N,A]/AC:L/Pr:N/UI:N

Временная метрика для CVSSv2 E:[H,F,POC]

Временная метрика для CVSSv3 E:[H,F,P]

3. Уязвимости упомянуты в MITRE ATT&CK

Ниже представим реализацию такого подхода на примере одной инфраструктуры.

Исходные данные: результаты сканирования инфраструктуры с учетной записью и без учетной записи. Для нашего примера рассмотрим только CVSSv2.

Выявленные уязвимости:

Разложим уязвимости по полочкам:


После удаления дублей количество уязвимостей из MITRE в этой инфраструктуре оказалось 0. Эти уязвимости попадали либо в первую группу, либо во вторую.

На выходе мы получаем:

  • уязвимостей первой очереди на устранение 9
  • второй очереди на устранение 25

Это дает нам 1,23% от общего количества уязвимостей и 3,51% от уязвимостей высокого уровня.

ИТОГ:


Экономит ли это нам время на понимание, куда бежать и что делать? Да, безусловно. Приносит ли это некоторую ясность в процесс управления уязвимостей? Да.

Использование такого подхода позволяет оперативно выделить уязвимости, которые должны были быть закрыты уже «вчера». При этом, надо понимать, что уязвимости, которые не попали в данную выборку – все так же представляют угрозу для информационной безопасности исследуемого объекта, и устранять их тоже надо.

Ссылки на дополнительные материалы:
https://www.first.org/cvss/
https://bdu.fstec.ru/calc
https://attack.mitre.org/techniques/T1068/

Оригинал материала размещён по адресу.

Топ-5 уязвимостей компьютерной безопасности

Киберпреступники — это , которые постоянно стремятся воспользоваться уязвимостями вашей компьютерной безопасности. Хотя цели этих киберпреступников могут варьироваться от одной к другой (политические мотивы, денежная выгода или просто выгода / престиж), они представляют собой серьезную угрозу для вашей организации.

Частью защиты вашего бизнеса от современных киберугроз является осознание различных типов уязвимостей, которые могут поставить под угрозу вашу сеть, и последующее устранение этих слабых мест до того, как злоумышленник сможет их использовать.Каковы наиболее распространенные уязвимости сетевой безопасности и как с ними бороться?

Прежде чем мы углубимся в примеры уязвимостей безопасности, важно установить, что такое уязвимость в компьютерной безопасности.

Что такое уязвимость в компьютерной безопасности?

Проще говоря, уязвимость компьютерной системы — это недостаток или слабое место в системе или сети, которые могут быть использованы для нанесения ущерба или для того, чтобы злоумышленник каким-либо образом манипулировал системой.

Это отличается от «киберугрозы» тем, что, хотя киберугроза может включать внешний элемент, уязвимости компьютерной системы изначально существуют в сетевом активе (например, компьютере, базе данных или даже конкретном приложении). Кроме того, они обычно не являются результатом преднамеренных усилий злоумышленника, хотя киберпреступники будут использовать эти недостатки в своих атаках, что заставляет некоторых использовать эти термины как синонимы.

Способ использования компьютерной уязвимости зависит от характера уязвимости и мотивов злоумышленника.Эти уязвимости могут существовать из-за непредвиденного взаимодействия различных программ, компонентов системы или основных недостатков отдельной программы. Важно знать, что уязвимости присутствуют практически в каждой сети — невозможно выявить и устранить их все из-за невероятно сложной природы современной сетевой архитектуры.

Однако вы можете значительно снизить риск утечки данных или аналогичного события, зная некоторые из наиболее распространенных сетевых уязвимостей и найдя способы их устранения.Вот несколько типов уязвимостей, на которые следует обратить внимание:

Типы уязвимостей системы безопасности

Уязвимости компьютерной безопасности можно разделить на множество типов на основе различных критериев, например, где существует уязвимость, чем она вызвана или как ее можно использовать. Некоторые общие категории этих типов уязвимостей включают:

  • Уязвимости сети . Это проблемы с аппаратным или программным обеспечением сети, которые делают его возможным вторжением извне.Примеры включают небезопасные точки доступа Wi-Fi и плохо настроенные брандмауэры.
  • Уязвимости операционной системы . Это уязвимости в конкретной операционной системе, которые хакеры могут использовать для получения доступа к активу, на котором установлена ​​ОС, или для нанесения ущерба. Примеры включают учетные записи суперпользователя по умолчанию, которые могут существовать в некоторых установках ОС, и скрытые программы-бэкдоры.
  • Уязвимости человека. Самым слабым звеном во многих архитектурах кибербезопасности является человеческий фактор.Ошибки пользователей могут легко раскрыть конфиденциальные данные, создать уязвимые точки доступа для злоумышленников или нарушить работу систем.
  • Уязвимости процессов. Некоторые уязвимости могут быть созданы конкретными средствами управления процессом (или их отсутствием). Одним из примеров может быть использование слабых паролей (которые также могут быть уязвимы для человека).

Вот несколько конкретных примеров уязвимостей безопасности, которые помогут вам узнать, что искать:

1) Скрытые бэкдор-программы

Это пример намеренно созданной уязвимости компьютерной безопасности.Когда производитель компьютерных компонентов, программного обеспечения или целых компьютеров устанавливает программу или фрагмент кода, предназначенный для обеспечения удаленного доступа к компьютеру (обычно для диагностики, настройки или технической поддержки), эта программа доступа называется бэкдором.

Когда бэкдор устанавливается на компьютеры без ведома пользователя, его можно назвать скрытой бэкдорной программой. Скрытые бэкдоры представляют собой огромную уязвимость программного обеспечения, потому что они слишком упрощают для кого-либо, кто знает о бэкдоре, незаконный доступ к уязвимой компьютерной системе и любой сети, к которой он подключен.

Например, в статье Bloomberg описывается случай, когда в маршрутизаторах производителя была оставлена ​​уязвимость системы безопасности, которая могла использоваться в качестве бэкдора. По статье:

«Крупнейшая телефонная компания Европы выявила скрытые бэкдоры в программном обеспечении, которые могли дать Huawei несанкционированный доступ к сети фиксированной связи оператора в Италии, системе, которая предоставляет интернет-услуги миллионам домов и предприятий… Vodafone попросил Huawei удалить бэкдоры в домашних интернет-маршрутизаторов в 2011 году и получили заверения от поставщика в том, что проблемы были устранены, но дальнейшее тестирование показало, что уязвимости в системе безопасности остались.”

Эта программная уязвимость в маршрутизаторах Huawei вызывает беспокойство, поскольку при использовании злоумышленниками она может предоставить им прямой доступ к миллионам сетей.

2) Права суперпользователя или администратора

Одним из основных принципов управления уязвимостями программного обеспечения является ограничение прав доступа пользователей программного обеспечения. Чем меньше информации / ресурсов может получить пользователь, тем меньший ущерб может нанести учетная запись пользователя в случае взлома.

Однако многие организации не могут контролировать права доступа к учетным записям пользователей, что позволяет практически каждому пользователю в сети иметь так называемый «суперпользователь» или доступ на уровне администратора.Некоторые конфигурации компьютерной безопасности достаточно ошибочны, чтобы позволить непривилегированным пользователям создавать учетные записи пользователей уровня администратора.

Проверка того, что доступ к учетной записи пользователя ограничен только тем, что каждому пользователю необходимо для выполнения своей работы, имеет решающее значение для управления уязвимостями компьютерной безопасности. Кроме того, обеспечение того, чтобы вновь созданные учетные записи не имели доступа на уровне администратора, важно для предотвращения простого создания учетными записями с более высокими привилегиями менее привилегированными пользователями.

3) Автоматический запуск скриптов без проверки на наличие вредоносных программ и вирусов

Одна из распространенных уязвимостей сетевой безопасности, которую некоторые злоумышленники научились использовать, — это использование определенных тенденций веб-браузеров (например, Safari) для автоматического запуска «надежных» или «безопасных» сценариев.Имитируя доверенный фрагмент кода и обманывая браузер, киберпреступники могли заставить программное обеспечение браузера запускать вредоносное ПО без ведома или участия пользователя, который часто не знал, как отключить эту «функцию».

В то время как удержание сотрудников от посещения ненадежных веб-сайтов, на которых могут запускаться вредоносные программы, — это только начало, отключение автоматического запуска «безопасных» файлов гораздо надежнее — и необходимо для соответствия тесту AppleOS, проведенному Центром Интернет-безопасности (CIS).

4) Неизвестные ошибки безопасности в программном обеспечении или интерфейсах программирования

Компьютерное программное обеспечение невероятно сложное.Когда две или более программы созданы для взаимодействия друг с другом, сложность может только возрасти. Проблема заключается в том, что в рамках одного программного обеспечения могут возникать проблемы с программированием и конфликты, которые могут создавать уязвимости в системе безопасности. Когда две программы взаимодействуют друг с другом, возрастает риск конфликтов, которые создают уязвимости программного обеспечения.

Ошибки программирования и непредвиденное взаимодействие кода входят в число наиболее распространенных уязвимостей компьютерной безопасности, и киберпреступники ежедневно работают над их обнаружением и злоупотреблением.К сожалению, предсказать создание этих уязвимостей компьютерных систем практически невозможно, поскольку практически нет ограничений на комбинации программного обеспечения, которые могут быть обнаружены на одном компьютере, не говоря уже о всей сети.

5) Незашифрованные данные в сети

Отсутствие шифрования в сети может не привести к атаке, но помогает злоумышленникам упростить кражу данных и их использование. Незашифрованные данные в сети могут представлять серьезный риск для организаций любого размера.

Хотя шифрование не остановит атаку, оно может лишить злоумышленников возможности использовать украденную информацию, превращая ее в неразборчивую тарабарщину до тех пор, пока ее нельзя будет расшифровать. Это дает командам защиты прав потребителей время, чтобы уведомить затронутые стороны, чтобы они могли принять меры против кражи личных данных, чтобы избежать вреда.

Это лишь некоторые из различных уязвимостей компьютерной безопасности, которым ваш бизнес может подвергнуться в любой момент времени. Вам нужна помощь в управлении уязвимостями вашего компьютера и защите вашего бизнеса от киберпреступников? Обратитесь к команде Compuquip сегодня!

Что такое уязвимость? | UpGuard

В кибербезопасности уязвимость — это слабое место, которое киберпреступники могут использовать для получения несанкционированного доступа к компьютерной системе.После использования уязвимости кибератака может запустить вредоносный код, установить вредоносное ПО и даже украсть конфиденциальные данные.

Уязвимости можно использовать различными способами, включая внедрение SQL, переполнение буфера, межсайтовый скриптинг (XSS) и наборы эксплойтов с открытым исходным кодом, которые ищут известные уязвимости и слабые места в безопасности в веб-приложениях.

Многие уязвимости влияют на популярное программное обеспечение, подвергая многих клиентов, использующих программное обеспечение, повышенному риску утечки данных или атаки на цепочку поставок.Такие эксплойты нулевого дня зарегистрированы MITER как Common Vulnerability Exposure (CVE).

Определение уязвимости

Существует множество определений уязвимости. Вот список определений различных органов сетевой безопасности.

  • Национальный институт стандартов и технологий (NIST): Слабость информационной системы, процедур безопасности системы, внутреннего контроля или реализации, которая может быть использована или инициирована источником угрозы.
  • ISO 27005: Слабость актива или группы активов, которая может быть использована одной или несколькими киберугрозами, когда актив — это что-либо, имеющее ценность для организации, ее бизнес-операций и их непрерывности, включая информационные ресурсы, поддерживающие миссия организации.
  • IETF RFC 4949: Недостаток или слабое место в конструкции, реализации, эксплуатации и управлении системой, которые могут быть использованы для нарушения политики безопасности системы.
  • ENISA: Наличие недостатка, ошибки проектирования или реализации, которая может привести к неожиданному нежелательному событию, ставящему под угрозу безопасность компьютерной системы, сети, приложения или протокола.
  • The Open Group: Вероятность того, что потенциал угрозы превышает способность противостоять угрозе.
  • Факторный анализ информационного риска: Вероятность того, что актив не сможет противостоять действиям агента угрозы.
  • ISACA: Слабость в дизайне, реализации, эксплуатации или внутреннем контроле

Когда следует публично раскрывать известные уязвимости?

Вопрос о том, следует ли публично раскрывать известные уязвимости, остается спорным. Есть два варианта:

Немедленное полное раскрытие информации

Некоторые эксперты по кибербезопасности выступают за немедленное раскрытие информации, включая конкретную информацию о том, как использовать уязвимость. Сторонники немедленного раскрытия информации считают, что это ведет к безопасному программному обеспечению и более быстрому внесению исправлений, улучшая безопасность программного обеспечения, безопасность приложений, компьютерную безопасность, безопасность операционной системы и информационную безопасность.

Ограничено раскрытием информации

В то время как другие выступают против раскрытия уязвимости, поскольку считают, что уязвимость будет использована. Сторонники ограниченного раскрытия информации считают, что ограничение информации отдельными группами снижает риск эксплуатации.

Как и большинство аргументов, есть веские аргументы с обеих сторон.

Независимо от того, на чьей вы стороне, знайте, что теперь дружественные злоумышленники и киберпреступники регулярно ищут уязвимости и тестируют известные эксплойты.

В некоторых компаниях есть собственные группы безопасности, чья работа заключается в тестировании ИТ-безопасности и других мер безопасности организации в рамках общего процесса управления информационными рисками и оценки рисков кибербезопасности.

Лучшие в своем классе компании предлагают вознаграждение за обнаружение уязвимостей, чтобы побудить любого найти и сообщить им об уязвимостях, а не использовать их. Программы Bug Bounty великолепны и могут помочь свести к минимуму риск присоединения вашей организации к нашему списку самых серьезных утечек данных.

Обычно сумма платежа по программе вознаграждений за обнаружение ошибок соизмерима с размером организации, сложностью использования уязвимости и воздействием уязвимости. Например, обнаружение утечки данных, позволяющих установить личность (PII) компании из списка Fortune 500 с помощью программы вознаграждения за ошибки, будет более ценным, чем утечка данных в вашем местном магазине.

В чем разница между уязвимостью и риском?

Риски кибербезопасности обычно классифицируются как уязвимости.Однако уязвимость и риск — это не одно и то же, что может привести к путанице.

Думайте о риске как о вероятности и последствиях использования уязвимости.

Если воздействие и вероятность использования уязвимости низки, то и риск низкий. И наоборот, если воздействие и вероятность использования уязвимости высоки, то существует высокий риск.

Как правило, воздействие кибератаки может быть связано с триадой ЦРУ или конфиденциальностью, целостностью или доступностью ресурса.Следуя этой цепочке рассуждений, бывают случаи, когда общие уязвимости не представляют опасности. Например, когда информационная система с уязвимостью не имеет ценности для вашей организации.

Когда уязвимость становится уязвимой?

Уязвимость, по крайней мере, с одним известным действующим вектором атаки, классифицируется как уязвимость, которую можно использовать. Окно уязвимости — это время с момента появления уязвимости до момента ее исправления.

Если у вас есть надежные методы обеспечения безопасности, то многие уязвимости не могут быть использованы для вашей организации.

Например, если вы правильно настроили безопасность S3, то вероятность утечки данных снижается. Проверьте свои разрешения S3, иначе это сделает кто-то другой.

Аналогичным образом, вы можете снизить риски третьих сторон и риски третьих сторон с помощью стратегий управления рисками третьих сторон и управления рисками поставщиков.

Что такое эксплойт нулевого дня?

Эксплойт нулевого дня (или нулевого дня) использует уязвимость нулевого дня. Уязвимость нулевого дня (или нулевого дня) — это уязвимость, которая неизвестна или не устранена теми, кто хочет исправить уязвимость.

Пока уязвимость не будет исправлена, злоумышленники могут использовать ее, чтобы отрицательно повлиять на компьютерную программу, хранилище данных, компьютер или сеть.

«Нулевой день» — это день, когда заинтересованная сторона узнает об уязвимости, что приводит к исправлению или обходному пути, чтобы избежать эксплуатации.

Ключевой момент, который нужно понять, — это чем меньше дней после Дня Ноль, тем выше вероятность того, что не было разработано никаких исправлений или средств защиты, и тем выше риск успешной атаки.

Что вызывает уязвимости?

Существует множество причин уязвимостей, включая:

Сложность

Сложные системы увеличивают вероятность ошибки, неправильной конфигурации или непреднамеренного доступа.

Знакомство

Общий код, программное обеспечение, операционные системы и оборудование увеличивают вероятность того, что злоумышленник сможет найти известные уязвимости или получит информацию об известных уязвимостях.

Возможности подключения

Чем больше подключено устройство, тем выше вероятность уязвимости.

Плохое управление паролями

Слабые пароли можно взломать с помощью грубой силы, а повторное использование паролей может привести к тому, что одна утечка данных станет множеством.

Недостатки операционной системы

Как и любое программное обеспечение, операционные системы могут иметь недостатки. Операционные системы, которые по умолчанию небезопасны и позволяют любому пользователю получить доступ и потенциально внедрить вирусы и вредоносное ПО.

Использование Интернета

Интернет полон шпионского и рекламного ПО, которое можно автоматически установить на компьютеры.

Ошибки программного обеспечения

Программисты могут случайно или намеренно оставить уязвимую ошибку в программном обеспечении.Иногда конечные пользователи не могут обновить свое программное обеспечение, оставляя их без исправлений и уязвимых для эксплуатации.

Непроверенный ввод пользователя

Если ваш веб-сайт или программное обеспечение предполагает, что весь ввод безопасен, они могут выполнять непредусмотренные команды SQL.

Люди

Самая большая уязвимость в любой организации — это человек на конце системы. Социальная инженерия — самая большая угроза для большинства организаций.

Что такое управление уязвимостями?

Управление уязвимостями — это циклическая практика выявления, классификации, устранения и уменьшения уязвимостей безопасности.Существенные элементы управления уязвимостями включают обнаружение уязвимостей, оценку уязвимостей и исправление.

Методы обнаружения уязвимости включают:

После обнаружения уязвимости она проходит процесс оценки уязвимости:

  • Выявление уязвимостей: Анализ сканирования сети, результатов проверки на проникновение, журналов брандмауэра и результатов сканирования уязвимостей для обнаружения аномалий которые предполагают, что кибератака может воспользоваться уязвимостью.
  • Проверить уязвимости: Решить, можно ли использовать выявленную уязвимость, и классифицировать серьезность эксплойта, чтобы понять уровень риска
  • Снижение уязвимостей: Определить меры противодействия и способы измерения их эффективности в случае, если исправление недоступно.
  • Устранение уязвимостей: По возможности обновите уязвимое программное обеспечение или оборудование.

В связи с тем, что кибератаки постоянно развиваются, управление уязвимостями должно быть непрерывной и повторяющейся практикой, чтобы ваша организация оставалась защищенной.

Что такое сканирование уязвимостей?

Сканер уязвимостей — это программное обеспечение, предназначенное для оценки компьютеров, сетей или приложений на предмет известных уязвимостей. Они могут выявлять и обнаруживать уязвимости, возникающие из-за неправильной конфигурации и некорректного программирования в сети, а также выполнять сканирование с проверкой подлинности и без проверки подлинности:

  • Проверка с проверкой подлинности: Позволяет сканеру уязвимостей напрямую обращаться к сетевым активам с помощью протоколов удаленного администрирования, таких как безопасная оболочка (SSH) или протокол удаленного рабочего стола (RDP) и аутентификация с использованием предоставленных учетных данных системы.Это дает доступ к низкоуровневым данным, таким как конкретные службы и детали конфигурации, предоставляя подробную и точную информацию об операционных системах, установленном программном обеспечении, проблемах конфигурации и отсутствующих исправлениях безопасности.
  • Сканирование без аутентификации: Результат — ложные срабатывания и недостоверная информация об операционных системах и установленном программном обеспечении. Этот метод обычно используется кибер-злоумышленниками и аналитиками безопасности, чтобы попытаться определить состояние безопасности внешних активов и найти возможные утечки данных.

Что такое тестирование на проникновение?

Тестирование на проникновение, также известное как тестирование на проникновение или этический взлом, — это практика тестирования актива информационных технологий для поиска уязвимостей безопасности, которые может использовать злоумышленник. Тестирование на проникновение может быть автоматизировано с помощью программного обеспечения или выполнено вручную.

В любом случае процесс заключается в сборе информации о цели, выявлении возможных уязвимостей и попытках их использования, а также в сообщении о результатах.

Тестирование на проникновение также может использоваться для проверки политики безопасности организации, соблюдения требований соответствия, осведомленности сотрудников о безопасности и способности организации выявлять инциденты безопасности и реагировать на них.

Что такое взлом Google?

Взлом Google — это использование поисковой системы, такой как Google или Microsoft Bing, для обнаружения уязвимостей в системе безопасности. Взлом Google достигается за счет использования операторов расширенного поиска в запросах, которые обнаруживают труднодоступную информацию или информацию, которая случайно раскрывается из-за неправильной настройки облачных сервисов.

Исследователи безопасности и злоумышленники используют эти целевые запросы для обнаружения конфиденциальной информации, которая не предназначена для публичного доступа.

Эти уязвимости, как правило, делятся на два типа:

  1. Уязвимости программного обеспечения
  2. Ошибки конфигурации

Тем не менее, подавляющее большинство злоумышленников будут искать распространенные неправильные конфигурации пользователей, которые они уже знают, как использовать, и просто сканируют системы. которые имеют известные дыры в безопасности.

Чтобы предотвратить взлом Google, вы должны убедиться, что все облачные сервисы правильно настроены. Как только что-то становится доступным для Google, оно становится общедоступным, нравится вам это или нет.

Да, Google периодически очищает свой кеш, но до этого момента ваши конфиденциальные файлы становятся общедоступными.

Что такое базы данных уязвимостей?

База данных уязвимостей — это платформа, которая собирает, поддерживает и передает информацию об обнаруженных уязвимостях. MITER использует одну из крупнейших под названием CVE или Common Vulnerabilities and Exposures и присваивает рейтинг Common Vulnerability Scoring System (CVSS), чтобы отразить потенциальный риск, который уязвимость может создать для вашей организации.

Этот центральный список CVE служит основой для многих сканеров уязвимостей.

Преимущество общедоступных баз данных уязвимостей заключается в том, что они позволяют организациям разрабатывать, определять приоритеты и выполнять исправления и другие меры по устранению критических уязвимостей.

Тем не менее, они также могут создавать дополнительные уязвимости из поспешно выпущенных патчей, которые исправляют первую уязвимость, но создают другую.

См. Аргумент в пользу полного раскрытия информации vs.ограниченное раскрытие выше.

Список распространенных уязвимостей в базах данных уязвимостей включает:

  • Ошибка первоначального развертывания: Функциональность баз данных может показаться удовлетворительной, но без тщательного тестирования уязвимости могут позволить злоумышленникам проникнуть. Плохие меры безопасности, слабые пароли или настройки безопасности по умолчанию могут привести к тому, что конфиденциальные материалы станут общедоступными.
  • SQL-инъекция: Атаки на базы данных обычно регистрируются в базах данных уязвимостей.
  • Неверная конфигурация: Компании часто не могут правильно настроить свои облачные сервисы, что делает их уязвимыми и часто общедоступными.
  • Неадекватный аудит: Без аудита трудно определить, были ли данные изменены или осуществлен доступ. Базы данных уязвимостей провозгласили важность отслеживания аудита как средства сдерживания кибератак.

Примеры уязвимостей

Уязвимости можно разделить на шесть широких категорий:

1.Аппаратное обеспечение

Восприимчивость к влажности, пыли, загрязнениям, стихийным бедствиям, плохому шифрованию или уязвимости прошивки.

2. Программное обеспечение

Недостаточное тестирование, отсутствие контрольного журнала, недостатки конструкции, нарушения безопасности памяти (переполнение буфера, чрезмерное чтение, висячие указатели), ошибки проверки ввода (внедрение кода, межсайтовый скриптинг (XSS) , обход каталога, внедрение электронной почты, атаки на строку формата, внедрение HTTP-заголовка, разделение HTTP-ответа, SQL-инъекция), ошибки, связанные с путаницей привилегий (кликджекинг, подделка межсайтовых запросов, атака с отказом FTP), условия гонки (гонки символических ссылок, время ожидания -check-to-time-of-use bug), атаки по побочным каналам, атаки по времени и сбои пользовательского интерфейса (обвинение жертвы, состояние гонки, усталость от предупреждений).

3. Сеть

Незащищенные линии связи, атаки типа «злоумышленник в середине», небезопасная сетевая архитектура, отсутствие аутентификации или аутентификация по умолчанию.

4. Персонал

Плохая политика найма, недостаточная осведомленность о безопасности и недостаточное обучение, плохое соблюдение правил безопасности, плохое управление паролями или загрузка вредоносных программ через вложения электронной почты.

5. Физический объект

Район, подверженный стихийным бедствиям, ненадежному источнику питания или отсутствию доступа к ключ-карте.

6. Организационные

Отсутствие аудита, плана обеспечения непрерывности, безопасности или плана реагирования на инциденты.

UpGuard может обнаруживать и устранять ваши уязвимости

UpGuard может защитить ваш бизнес от утечек данных, выявить все утечки данных и помочь вам постоянно контролировать состояние безопасности всех ваших поставщиков.

UpGuard также поддерживает соответствие множеству структур безопасности, включая новые требования, установленные Указом Байдена по кибербезопасности.

Проверьте безопасность своего веб-сайта, НАЖМИТЕ ЗДЕСЬ , чтобы получить мгновенную оценку безопасности прямо сейчас!

Обзор кибер-уязвимостей | CISA

Системы управления уязвимы для кибератак как изнутри, так и за пределами сети системы управления. Чтобы понять уязвимости, связанные с системами управления, вы должны знать типы коммуникаций и операций, связанных с системой управления, а также понимать, как злоумышленники используют уязвимости системы в своих интересах.Это обсуждение обеспечивает общий обзор этих тем, но не обсуждает подробные эксплойты, используемые злоумышленниками для осуществления вторжений.


Понимание кибер-уязвимостей системы управления

Чтобы понять уязвимости, связанные с системами управления (CS), вы должны сначала знать все возможные пути передачи данных в и из CS. На рисунке 1 представлены различные устройства, пути связи и методы, которые можно использовать для связи с типичными компонентами системы процессов.

большая версия
Рисунок 1: Доступ к коммуникационным системам

Как показано на Рисунке 1, существует множество способов связи с сетью CS и ее компонентами с использованием различного вычислительного и коммуникационного оборудования. Лицо, разбирающееся в технологическом оборудовании, сетях, операционных системах и программных приложениях, может использовать эти и другие электронные средства для получения доступа к CS. Точки беспроводного доступа, позволяющие несанкционированное подключение к системным компонентам и сетям, представляют собой уязвимости.

В типичной крупномасштабной производственной системе, использующей конфигурацию SCADA или распределенной системы управления (DCS), имеется множество компонентов компьютера, контроллера и сетевых коммуникаций, интегрированных для обеспечения эксплуатационных потребностей системы. Типичная сетевая архитектура показана на рисунке 2.

большая версия
Рисунок 2: Типичная сетевая архитектура с двумя брандмауэрами

Контроллеры подключаются к технологическим устройствам и датчикам для сбора данных о состоянии и обеспечения оперативного управления устройств.Блок контроллера обменивается данными с сервером сбора данных CS, используя различные протоколы связи (структурированные форматы для упаковки данных для передачи). Связь между сервером сбора данных и контроллерами в системе может быть обеспечена локально с использованием высокоскоростного провода, оптоволоконных кабелей или удаленных контроллеров через беспроводную связь, коммутируемое соединение, Ethernet или комбинацию методов связи.

Оператор или диспетчер контролирует и управляет системой через подсистему человеко-машинного интерфейса (HMI).HMI предоставляет графические дисплеи для представления состояния устройств, сигналов тревоги и событий, состояния системы и другой информации, относящейся к системе. Оператор может взаимодействовать с системой через дисплеи HMI для удаленного управления системным оборудованием, устранения неполадок, разработки и запуска отчетов и выполнения других операций.

Системные данные собираются, обрабатываются и хранятся на главном сервере базы данных. Эти данные сохраняются для бизнес-потребностей в тенденциях, архивировании, регулировании и внешнем доступе.Типы данных включают данные из следующих источников: сервер сбора данных, взаимодействие оператора с управлением, сигналы тревоги и события, а также рассчитанные и генерируемые из других источников.

В большинстве систем управления используются специализированные приложения для обработки операционных и бизнес-данных. Эти задачи обычно выполняются на серверах расширенных приложений, извлекающих данные из различных источников в сети системы управления. Эти приложения могут приводить к корректировкам оперативного управления в реальном времени, отчетам, сигналам тревоги и событиям, расчетному источнику данных для архивации главного сервера базы данных или поддержке аналитических работ в реальном времени, выполняемых с рабочей станции инженера или других интерфейсных компьютеров.

Инженерная рабочая станция предоставляет средства для мониторинга и диагностики различных аспектов работы системы, установки и обновления программных элементов, восстановления после сбоев и выполнения различных задач, связанных с системным администрированием.

Критически важные системы управления обычно конфигурируются в полностью резервированной архитектуре, что обеспечивает быстрое восстановление после потери различных компонентов в системе. Резервный центр управления используется в более важных приложениях для обеспечения дополнительной системы управления в случае катастрофической потери основной системы.

Сеть системы управления часто подключается к сети бизнес-офиса для обеспечения передачи данных из сети управления в реальном времени в различные элементы корпоративного офиса. Это часто включает планирование технического обслуживания, центр обслуживания клиентов, контроль запасов, управление и администрирование, а также другие подразделения, которые полагаются на эти данные для принятия своевременных бизнес-решений.

Злоумышленник, желающий взять на себя управление системой управления, сталкивается с тремя проблемами:

  1. Получить доступ к системе управления LAN
  2. Путем обнаружения получить понимание процесса
  3. Получить контроль над процессом.

В начало

Доступ к локальной сети системы управления

Первое, что нужно сделать злоумышленнику, — это обойти защиту периметра и получить доступ к локальной сети системы управления. Большинство сетей систем управления больше не имеют прямого удаленного доступа из Интернета. Обычной практикой в ​​большинстве отраслей является межсетевой экран, отделяющий корпоративную локальную сеть от локальной сети системы управления. Это не только защищает от хакеров, но и изолирует сеть системы управления от сбоев, червей и других проблем, возникающих в корпоративной локальной сети.Большинство готовых хакерских инструментов злоумышленника можно напрямую применить к проблеме. Существует несколько распространенных способов, которыми злоумышленник может получить доступ, но количество различных путей превышает количество обычных.

В начало

Общие сетевые архитектуры

большая версия
Рисунок 3. Два межсетевых экрана

В большинстве систем управления есть три общие архитектуры. У каждого бизнеса есть свои небольшие вариации, продиктованные их средой.Все три являются защищенными, если используются надлежащие брандмауэры, системы обнаружения вторжений и привилегии на уровне приложений. Безусловно, наиболее распространенной архитектурой является архитектура с двумя брандмауэрами (см. Рисунок 3). Деловая ЛВС защищена от Интернета брандмауэром, а ЛВС системы управления защищена от деловой ЛВС отдельным брандмауэром. Брандмауэр для бизнеса администрируется ИТ-персоналом компании, а брандмауэр системы управления администрируется персоналом системы управления.

большая версия
Рисунок 4: Система управления как DMZ

Вторая наиболее распространенная архитектура — это сеть системы управления как демилитаризованная зона (DMZ) за пределами бизнес-локальной сети (см. Рисунок 4).Единый межсетевой экран администрируется ИТ-персоналом компании, который защищает локальную сеть системы управления как от корпоративной локальной сети, так и из Интернета.

Крупной DCS часто требуется использовать части бизнес-сети в качестве маршрута между несколькими локальными сетями систем управления (см. Рисунок 5). Каждая локальная сеть системы управления обычно имеет свой собственный межсетевой экран, защищающий ее от корпоративной сети, а шифрование защищает процесс передачи данных по корпоративной локальной сети. Администрирование межсетевых экранов обычно является совместным усилием системы управления и ИТ-отделов.

большая версия
Рисунок 5: Деловая локальная сеть как магистраль

большая версия
Рисунок 6: DMZ данных

LAN и LAN системы управления (см. Рисунок 6). Это обеспечивает дополнительный уровень защиты, поскольку не происходит прямого обмена данными между локальной сетью системы управления и бизнес-локальной сетью. Дополнительная надежность DMZ данных зависит от особенностей ее реализации.

Вернуться к началу

Коммутируемый доступ к RTU

большая версия
Рисунок 7. Коммутируемый доступ к RTU

Один из наиболее распространенных маршрутов входа напрямую набирает модемы, подключенные к полевому оборудованию (см. рисунок 7). Модемы используются в качестве резервных каналов связи в случае выхода из строя основных высокоскоростных линий. Злоумышленник набирает все телефонные номера в городе в поисках модемов. Кроме того, злоумышленник наберет каждый внутренний номер в компании в поисках модемов, подключенных к корпоративной телефонной системе.Большинство удаленных терминалов (RTU) идентифицируют себя и производителя, который их сделал. Большинство RTU не требуют аутентификации или пароля для аутентификации. Обычно можно найти удаленные терминалы с паролями по умолчанию, которые все еще активированы в полевых условиях.

Злоумышленник должен знать, как использовать протокол RTU для управления RTU. Управление обычно, но не всегда, ограничивается одной подстанцией.

Вернуться к началу

Поддержка поставщика

большая версия
Рисунок 8: Поддержка поставщика

Большинство систем управления поставляется с соглашением о поддержке поставщика.Необходима поддержка во время обновлений или при сбоях в работе системы. Наиболее распространенными средствами поддержки поставщика были модем удаленного доступа и PCAnywhere (см. Рисунок 8). В последние годы это перешло на VPN-доступ к локальной сети системы управления. Злоумышленник попытается получить доступ к внутренним ресурсам поставщика или полевым портативным компьютерам и подключиться к локальной сети системы управления.

Вернуться к началу

Связь, управляемая ИТ-отделом

большая версия
междугородные линии связи.В этом случае обычно обнаруживается, что один или несколько каналов связи контролируются и администрируются из корпоративной локальной сети. Мультиплексоры для микроволновых каналов и волоконно-оптических линий являются наиболее распространенными изделиями. Опытный злоумышленник может перенастроить или скомпрометировать эти части коммуникационного оборудования для управления полевыми коммуникациями (см. Рисунок 9).

Вернуться к началу

Корпоративные VPN

большая версия
.Наиболее распространенный механизм — подключение к управляющему брандмауэру через VPN (см. Рисунок 10). Злоумышленник попытается захватить компьютер и будет ждать, пока законный пользователь подключится к сети VPN в локальной сети системы управления и подключится к соединению.

Вернуться к началу

Ссылки на базу данных

большая версия
в бизнес-локальную сеть.Часто администраторы делают все возможное, чтобы настроить правила брандмауэра, но не тратят время на обеспечение безопасности среды базы данных. Опытный злоумышленник может получить доступ к базе данных в локальной сети предприятия и использовать специально созданные операторы SQL, чтобы захватить сервер базы данных в локальной сети системы управления (см. Рисунок 11). Практически все современные базы данных допускают этот тип атаки, если не настроены должным образом для ее блокировки.

В начало

Плохо настроенные межсетевые экраны

Часто межсетевые экраны плохо настроены по историческим или политическим причинам.Распространенные недостатки брандмауэра включают передачу сетевых пакетов Microsoft Windows, передачу rservices и наличие доверенных хостов в корпоративной локальной сети. Самая распространенная проблема конфигурации — отсутствие правил для исходящих данных. Это может позволить злоумышленнику, который может скрыть полезную нагрузку на любой машине системы управления, перезвонить из локальной сети системы управления в бизнес-локальную сеть или Интернет (см. Рисунок 7).

Вернуться к началу

Связи одноранговых служебных программ

большая версия
Рис. партнеры-производители.Исторически сложилось так, что ссылкам от партнеров или сверстников можно было доверять. В этом случае безопасность системы — это безопасность самого слабого участника (см. Рисунок 12). В последнее время одноранговые ссылки были ограничены за брандмауэрами для определенных хостов и портов.

В начало

Обнаружение процесса

Злоумышленник, который закрепляется в локальной сети системы управления, должен обнаружить детали реализации процесса, чтобы хирургическим путем атаковать его. Если бы дюжине инженеров-химиков было поручено создать завод по производству талька, каждый из них использовал бы различное оборудование и настраивал бы оборудование уникальным образом.Злоумышленнику, желающему прибегнуть к хирургическому вмешательству, для того, чтобы действовать эффективно, необходимы специфические особенности. Злоумышленнику, который просто хочет завершить процесс, требуется очень небольшое обнаружение.

Двумя наиболее ценными элементами для злоумышленника являются точки в базе данных сервера сбора данных и экраны дисплея HMI. Каждый поставщик системы управления называет базу данных по-своему, но почти каждая система управления присваивает каждому датчику, насосу, выключателю и т. Д. Уникальный номер. На уровне протокола связи устройства просто обозначаются номерами.Хирургическому злоумышленнику нужен список используемых ссылочных номеров точек и информация, необходимая для присвоения значения каждому из этих номеров.

Экраны HMI оператора обычно предоставляют самый простой способ понять процесс и присвоить значение каждому из номеров точек. Каждый поставщик системы управления уникален тем, где он хранит экраны оператора HMI и базу данных точек. Правила, добавленные в систему обнаружения вторжений (IDS) для поиска этих файлов, эффективны для обнаружения злоумышленников.

В начало

Управление процессом

Отправка команд непосредственно на оборудование для сбора данных

большая версия
Рисунок 13: Отправка команд непосредственно на оборудование для сбора данных

Самый простой способ управлять процессом — отправлять команды непосредственно на оборудование для сбора данных (см. Рисунок 13). Большинство ПЛК, преобразователей протоколов или серверов сбора данных не имеют даже базовой аутентификации.Обычно они принимают любую правильно отформатированную команду. Злоумышленник, желающий получить контроль, просто устанавливает соединение с оборудованием для сбора данных и выдает соответствующие команды.

Вернуться к началу

Экспорт экрана HMI

большая версия
Рисунок 14: Экспорт экрана HMI

Эффективной атакой является экспорт экрана консоли HMI оператора обратно злоумышленнику (см. рисунок 14).Стандартные инструменты могут выполнять эту функцию как в среде Microsoft Windows, так и в среде Unix. Оператор увидит «мышь вуду», щелкающую по экрану, если злоумышленник не закроет экран. Злоумышленник также ограничен командами, разрешенными для текущего вошедшего в систему оператора. Например, он, вероятно, не мог изменить отвод фазы на трансформаторе.

Вернуться к началу

Изменение базы данных

большая версия
Рис. база данных может выполнять произвольные действия с системой управления (см. рисунок 15).

Вернуться к началу

Атаки Man-in-the-Middle

large version
Рисунок 16. Атаки Man-in-the-middle

Man-in-the- Атаки среднего уровня могут выполняться на протоколах системы управления, если злоумышленник знает протокол, которым он манипулирует. Злоумышленник может изменять пакеты в пути, обеспечивая как полную подделку дисплеев операторского интерфейса HMI, так и полный контроль над системой управления (см. Рисунок 16).Вставляя команды в поток команд, злоумышленник может выдавать произвольные или целевые команды. Изменяя ответы, оператор может получить измененную картину процесса.

В начало

Что такое уязвимость кибербезопасности?

По мере роста ценности данных роль кибербезопасности в поддержании корпоративных операций существенно возросла. Чтобы организации могли успешно развивать новые деловые отношения, они должны быть в состоянии защитить данные клиентов и сотрудников от взлома.Достижение такого уровня безопасности требует всестороннего понимания уязвимостей кибербезопасности и методов, которые злоумышленники используют для получения доступа к сети.

Возможность эффективно управлять уязвимостями не только улучшает программы безопасности, но также помогает ограничить влияние успешных атак. Вот почему наличие установленной системы управления уязвимостями стало необходимостью для организаций в разных отраслях. Ниже мы разберем распространенные типы уязвимостей кибербезопасности, а также дадим рекомендации по выявлению уязвимостей в ваших системах и управлению ими.

Что такое уязвимость кибербезопасности и чем она отличается от угрозы кибербезопасности?

Уязвимость кибербезопасности — это любое слабое место в информационных системах, внутреннем контроле или системных процессах организации, которое может быть использовано киберпреступниками. Через точки уязвимости кибер-злоумышленники могут получить доступ к вашей системе и собрать данные. Что касается общего состояния безопасности вашей организации, уязвимости кибербезопасности чрезвычайно важно отслеживать, поскольку бреши в сети могут привести к полномасштабному нарушению целостности системы.

Уязвимости отличаются от киберугроз тем, что они не внедряются в систему, а присутствуют с самого начала. Очень редко кибер-уязвимости создаются в результате действий, предпринимаемых киберпреступниками, вместо этого они обычно вызваны недостатками операционной системы или неправильной конфигурацией сети. И наоборот, киберугрозы возникают в результате внешнего события, например загрузки вируса сотрудником или атаки социальной инженерии.

Что такое управление уязвимостями?

Управление уязвимостями — это процесс выявления, классификации, смягчения и устранения уязвимостей системы.Ниже мы опишем три ключевых шага в управлении уязвимостями, которым вы можете следовать, чтобы упростить программу управления уязвимостями в своей организации:

1. Определите уязвимости

Идентификация уязвимостей — это процесс обнаружения и выявления уязвимых мест в ваших сетевых операциях. Обычно это делается с помощью сканеров уязвимостей, которые периодически проверяют сетевые системы на предмет неправильной конфигурации, неправильной структуры файловой системы и т. Д. Затем результаты сканирования сопоставляются с известными базами данных аналитики безопасности.Чтобы получить точные результаты, очень важно, чтобы сканер был правильно настроен и обновлен. Рекомендуется провести тестовый запуск в нерабочее время, чтобы вы могли оценить точность результатов и при необходимости внести коррективы.

2. Оцените уязвимости

После выявления уязвимостей следующим шагом является оценка риска, который они представляют для вашего бизнеса, с помощью оценки уязвимости кибербезопасности . Оценки уязвимости позволяют назначать уровни риска для выявленных угроз, чтобы вы могли определить приоритеты усилий по исправлению.Эффективные оценки также способствуют соблюдению нормативных требований, поскольку они обеспечивают устранение уязвимостей до того, как их можно будет использовать.

3. Устранение уязвимостей

После определения уровня риска уязвимости необходимо устранить ее. К различным способам устранения уязвимости относятся:

  • Устранение: Устранение уязвимости включает полное исправление или исправление уязвимости. Это предпочтительный способ обработки уязвимостей, поскольку он устраняет риск.
  • Смягчение: Смягчение включает принятие мер, направленных на снижение вероятности использования уязвимости. Снижение уязвимости обычно выполняется для того, чтобы выиграть время, пока не будет доступен подходящий патч.
  • Принятие: Отсутствие действий по устранению уязвимости оправдано, если организация считает, что она имеет низкий риск. Это также оправдано, когда стоимость устранения уязвимости превышает затраты, понесенные в случае ее эксплуатации.

Распространенные типы уязвимостей кибербезопасности

При создании программы управления уязвимостями необходимо учитывать несколько ключевых уязвимостей кибербезопасности. Ниже приведены шесть наиболее распространенных типов уязвимостей кибербезопасности:

1. Неправильная конфигурация системы

Неправильная конфигурация системы происходит из-за того, что сетевые активы имеют уязвимые настройки или разрозненные меры безопасности. Обычная тактика, которую используют киберпреступники, — исследовать сети на предмет неправильной конфигурации системы и пробелов, которые могут быть использованы.По мере того, как все больше организаций внедряют цифровые решения, вероятность неправильной конфигурации сети растет, поэтому при внедрении новых технологий важно работать с опытными профессионалами в области безопасности.

2. Устаревшее программное обеспечение или программное обеспечение без исправлений

Неисправленные уязвимости могут использоваться киберпреступниками для проведения атак и кражи ценных данных. Подобно неправильной конфигурации системы, кибер-злоумышленники будут проверять сети в поисках непропатченных систем, которые они могут взломать. Чтобы ограничить этот риск, важно установить график управления исправлениями, чтобы все новые системные исправления внедрялись сразу после их выпуска.

3. Учетные данные для авторизации отсутствуют или ненадежны

Распространенная тактика, которую используют злоумышленники, — это взломать сеть путем подбора учетных данных сотрудников. Важно обучать сотрудников передовым методам кибербезопасности, чтобы их данные для входа в систему нельзя было легко использовать для получения доступа к сети.

4. Вредоносные внутренние угрозы

Сознательно или со злым умыслом сотрудники, имеющие доступ к критически важным системам, могут обмениваться информацией, которая позволяет киберпреступникам проникать в сеть.Инсайдерские угрозы сложно отследить, поскольку все действия, предпринимаемые сотрудниками, будут казаться законными и, следовательно, практически не вызывают никаких тревожных сигналов. Чтобы помочь в борьбе с этими угрозами, рассмотрите возможность инвестирования в решения для управления доступом к сети и сегментируйте свою сеть на основе стажа и опыта сотрудников.

5. Шифрование данных отсутствует или ненадлежащее

Сети с отсутствующим или плохим шифрованием позволяют злоумышленникам перехватывать обмен данными между системами, что приводит к взлому. Когда плохо или незашифрованная информация прерывается, кибер-злоумышленники могут извлечь важную информацию и ввести ложную информацию на сервер.Это может подорвать усилия организации по обеспечению соблюдения требований кибербезопасности и привести к значительным штрафам со стороны регулирующих органов.

6. Уязвимости нулевого дня

Угрозы нулевого дня — это определенные уязвимости программного обеспечения, которые известны злоумышленнику, но еще не были идентифицированы организацией. Это означает, что доступного исправления нет, поскольку об уязвимости еще не было сообщено поставщику системы. Они чрезвычайно опасны, так как от них невозможно защититься до тех пор, пока атака не будет выполнена.Важно сохранять усердие и постоянно контролировать свои системы на наличие уязвимостей, чтобы ограничить вероятность атаки нулевого дня.

Как SecurityScorecard может помочь организациям уменьшить уязвимости кибербезопасности

Для активного управления уязвимостями кибербезопасности требуется постоянная видимость вашей внутренней и сторонней сетевой экосистемы. Платформа SecurityScorecard Security Ratings позволяет организациям в режиме реального времени получать предупреждения об уязвимостях и предложения по исправлению, что позволяет им постоянно контролировать свою ИТ-экосистему.Наша платформа использует шкалу оценок от A до F, которая предлагает удобную для чтения визуализацию состояния безопасности организации. Это помогает в разработке стратегии управления уязвимостями, поскольку организации регулярно получают обновления о новых или развивающихся уязвимостях экосистем.

С ростом сложности сетей возможность активного управления уязвимостями кибербезопасности стала критически важной для успеха бизнеса. С SecurityScorecard организации получают доступ к данным и аналитической информации, которые им необходимы для упреждающего устранения уязвимостей по мере их возникновения.

Уязвимости в информационной безопасности — GeeksforGeeks

Уязвимости — это слабые места в системе, которые дают угрозам возможность поставить под угрозу активы. У всех систем есть уязвимости. Несмотря на то, что технологии улучшаются, количество уязвимостей растет, таких как десятки миллионов строк кода, множество разработчиков, человеческие слабости и т. Д. Уязвимости в основном возникают из-за аппаратных, программных, сетевых и процедурных уязвимостей.

1. Уязвимость оборудования:
Уязвимость оборудования — это слабое место, которое можно использовать для физической или удаленной атаки на оборудование системы.
Например:

Вниманию читателя! Не прекращайте учиться сейчас. Получите все важные концепции теории CS для собеседований SDE с помощью курса CS Theory Course по приемлемой для студентов цене и станьте готовым к работе в отрасли.

  1. Старая версия систем или устройств
  2. Незащищенное хранилище
  3. Незашифрованные устройства и т. Д.

2. Уязвимость программного обеспечения:
Ошибка программного обеспечения, произошедшая при разработке или настройке, такая как ее выполнение, может нарушить политику безопасности. Например:

  1. Отсутствие проверки ввода
  2. Непроверенные загрузки
  3. Межсайтовый скриптинг
  4. Незашифрованные данные и т. Д.

3. Уязвимость сети:
В сети возникает слабость, которая может быть аппаратной или программной.
Например:

  1. Незащищенный обмен данными
  2. Вредоносное или вредоносное ПО (например,g .: Вирусы, клавиатурные шпионы, черви и т. д.)
  3. Атаки социальной инженерии
  4. Неправильно настроенные брандмауэры

4. Процедурная уязвимость:
Слабость в методах работы организации.
Например:

  1. Процедура ввода пароля — Пароль должен соответствовать стандартной политике паролей.
  2. Процедура обучения — Сотрудники должны знать, какие действия следует предпринять и что делать для обеспечения безопасности. Запрещается запрашивать у сотрудников учетные данные в Интернете.Ознакомьте сотрудников с угрозами социальной инженерии и фишинга.

Уязвимости системы SCADA для кибератак

Резюме:
После трагедии 11 сентября и постоянно растущей угрозы «кибертерроризма» возник очень важный вопрос, касающийся уязвимости компьютерных систем. , системы диспетчерского управления (SCADA), которые используются для мониторинга и контроля наших систем водоснабжения, наших нефте- и газопроводов и нашей электросети. По этому поводу много сказано и написано, но на этот основной вопрос нет однозначного ответа.В зависимости от конкретных характеристик данной системы SCADA она более или менее подвержена такому нападению. Архитектура таких систем развивалась вместе с компьютерными технологиями за последние двадцать лет, и нынешние конструкции, хотя и более гибкие и функциональные, также могут быть более уязвимыми. Также важно понимать, что атака на такую ​​систему может происходить «изнутри» так же легко, как и из внешнего источника. В этом документе обсуждаются способы атаки на систему SCADA и то, что можно сделать, чтобы уменьшить или исключить возможность такой атаки.

Введение:
Системы диспетчерского управления (SCADA) используются с начала 1970-х годов в качестве средства для мониторинга и удаленного управления географически широко распределенными процессами, такими как очистка и распределение воды, нефте- и газопроводы, а также передача и распределение электроэнергии. В базовой архитектуре все эти системы состоят из «центральной» компьютерной системы (обычно полностью резервированной или «отказоустойчивой»), которая обменивается данными, используя одну или несколько возможных телекоммуникационных технологий, с многочисленными удаленными электронными устройствами (называемыми RTU или удаленных оконечных устройств), которые сопряжены с полевым технологическим оборудованием (см. рисунок 1.0). Со временем, в течение 1980-х и 1990-х годов, по мере развития микропроцессоров, персональных компьютеров и сетевых технологий, конструкция систем SCADA изменилась, и в них были внедрены новейшие технологии. В конце 1990-х и начале 2000-х годов Интернет и Интернет-технологии начали интегрироваться в проекты систем SCADA. Сегодня современная SCADA-система (архитектурно) больше похожа на корпоративную ИТ-сеть, чем на систему управления «в реальном времени» (см. Рисунок 1.1). Но дело в том, что SCADA-система ЯВЛЯЕТСЯ системой управления в реальном времени и что успешная атака на такую ​​систему может иметь гораздо более серьезные и широко распространенные последствия (с точки зрения гибели людей и физического ущерба), чем «отказ в обслуживании». ”Атака на корпоративный веб-сайт.

Цель атаки:
Цель кибератаки на систему SCADA может варьироваться от хакера, пытающегося доказать, что он может пройти через вашу защиту, до террориста, который хочет повредить крупный трубопровод транспортировки нефтепродуктов. Возможно, кто-то может организовать атаку в шпионских (промышленных) целях или для создания «ложной» информации в системе SCADA. Наиболее серьезными угрозами являются те, которые намереваются либо серьезно отключить систему (что может включать создание ложных данных, чтобы операторы не знали о развитии проблем), либо те, которые пытаются реквизировать систему, чтобы нанести ущерб процессу или оборудованию, контролируемому путем отправки неправильные команды управления.

Надежность системы SCADA:
Важно помнить, что большинство систем SCADA спроектированы с полным резервированием и, возможно, некоторыми дополнительными уровнями отказоустойчивости. Это потому, что (по уважительным причинам) люди никогда полностью не доверяли надежности электронного оборудования. Это означает, что такую ​​систему будет труднее «убить», чем обычный ИТ-сервер. Тем не менее, если серьезный террорист нацелился на систему SCADA, существуют «кибернетические» способы достижения его цели.

Физическая безопасность:
В этом документе не рассматривается физическая безопасность, но кажется очевидным, что позволять кому-либо с бензопилой, топором или дробовиком приближаться к вашей системе SCADA было бы плохой идеей и ее следует предотвращать, если это вообще возможно. И вообще, физическая безопасность жизненно важна, и эта тема заслуживает целого отдельного white paper. В этом документе рассматриваются нефизические атаки (помимо физических повреждений, отключения электроэнергии и т. Д.) На системы SCADA.

Внешние соединения:
В старых оригинальных системах SCADA единственными внешними соединениями с внешним миром были телекоммуникационные каналы, используемые для «опроса» и связи с оборудованием RTU на удаленных объектах (см. Рисунок 1.0). Коммуникационные технологии, используемые для этого, могут быть любыми: от частного, принадлежащего коммунальным предприятиям и установленного, микроволнового телекоммуникационного оборудования или арендованных телефонных линий (предоставленных «Ма Белл» в то время) или просто полудуплексного лицензированного радио. Связь по этим каналам управлялась с использованием специализированных, проприетарных, зависящих от поставщика протоколов связи. Эти протоколы включают базовые возможности обнаружения и исправления ошибок, но ничего, что гарантирует «безопасную» связь. Со временем несовместимость проприетарных протоколов в сочетании с прекращением деятельности поставщиков SCADA / RTU вынудила заказчиков систем RTU и SCADA настаивать на «стандартизованных» протоколах.В сфере водоснабжения и водоотведения эти же факторы стимулировали повсеместный переход на оборудование PLC (программируемые логические контроллеры) для использования в качестве RTU. Эти шаги были хорошими экономическими и техническими решениями, но они увеличили возможности для кибератаки. «Стандарт» для протокола означает, что он хорошо опубликован, задокументирован и доступен из многих источников. Кто-то с «тестовым набором» RTU (переносным компьютером, на котором запущено программное обеспечение для моделирования протокола) и совместимым радиомодулем, в действительности может сидеть рядом с участком RTU и посылать команды управления, которые будут приняты RTU как исходящие от центральной системы SCADA. (см. рисунок 2.0). Если бы он / она мог получить доступ к телефонной сети на удаленный объект, было бы еще проще реквизировать RTU. Этот вид атаки полностью игнорирует «хост-систему» ​​и направляется непосредственно к тем местам, где фактически осуществляется контроль и мониторинг. Некоторые типы RTU и большинство ПЛК поддерживают загрузку управляющей логики через свои коммуникационные порты. Это открывает возможность террористам «перепрограммировать» удаленное устройство по той же схеме.

Чтобы упростить техническому и вспомогательному персоналу поставщика системы решение проблем системного программного обеспечения и конфигурации (без выезда на объект заказчика), многие системы SCADA начинают поставляться с телефонным портом для удаленного доступа (см. Рисунок 3.0). Это позволяло человеку с номером телефона и действующим идентификатором / паролем иметь административный доступ к системе SCADA. Что еще хуже, многие такие порты доступа поддерживают «секретный» пароль / идентификатор, известный только поставщику (и всем, кто когда-либо работал с этим поставщиком), на случай, если заказчик полностью испортил системные файлы идентификаторов / паролей. Хакеры, использующие «дозвонщики войны» и программы для взлома паролей, также могут атаковать эти порты. Вход в систему через такие порты часто обеспечивает наивысший уровень доступа к системе.Но большинство хакеров вышли из мира UNIX / Microsoft, поскольку они были наиболее распространенными средами операционных систем с тех пор, как «онлайновые» системы получили широкое распространение в 1980-х годах (начиная с систем досок объявлений и заканчивая Интернетом). что многие будут мало или совсем не знакомы с операционными системами, работающими в этих старых системах SCADA. Это ограничит их доступ.

Поскольку ПК начали становиться основой рабочих станций оператора, появилась возможность рассмотреть возможность поддержки дополнительных ПК.Коммутируемые компьютеры, подключенные удаленно через коммутируемые телекоммуникационные каналы, чтобы руководитель предприятия или инженер мог «дозвониться» из дома с помощью своего ПК, вместо того, чтобы в экстренной ситуации бежать обратно на завод или в центр управления. Как и в случае с «портами» обслуживания и поддержки, эта возможность была точкой проникновения для потенциального хакера. Без необходимости знать что-либо о протоколах, если бы был получен доступ к коммутируемой цепи связи, это было бы идеальным кандидатом для атаки «повторного воспроизведения», когда сообщения записываются и повторно передаются позже.Для этой задачи подойдет большинство коммерческих анализаторов протоколов. Многие системы на основе UNIX использовали стандарт X-Window для этих удаленных рабочих станций. Это означало, что любой, у кого есть ПК, программное обеспечение X-Window и доступ к коммуникационной цепи, будет иметь полнофункциональную консоль оператора, обычно защищенную только логином по идентификатору / паролю.

Поскольку системы SCADA собирают много данных и генерируют множество отчетов, было разумным, что в конечном итоге системы SCADA будут подключены к бизнес-системам для автоматического обмена этими данными.В ранних реализациях это могло быть сделано с помощью специального программного обеспечения. Но за последние полдюжины лет этого можно было достичь с помощью сетей TCP / IP и стандартизированных IP-приложений, таких как обмен данными «ftp» (протокол передачи файлов) или XML (веб-страница). Как только система подключена через TCP / IP к другой (с любым количеством других между ними), если не включены меры безопасности, пользователь в «другой» системе имеет множество способов проникнуть в целевую систему, почти так же, как и проникновение через порт обслуживания (см. рисунок 1.1).

Что подводит нас к «основной» внешней уязвимости: возможность подключения к Интернету. Как только что было упомянуто, как только система подключена с использованием сети TCP / IP, пользователь любой другой системы в той же сети, независимо от того, сколько других компьютеров находится «между ними», может получить доступ к целевой системе. В этом красота и сила IP-дизайна Интернета. Но это также означает, что каждый чокнутый в любой точке мира, имеющий подключение к Интернету, может попытаться взломать вашу систему SCADA.Итак, если вы не сделаете особые меры безопасности, если ваша система SCADA подключена к системе, которая подключена к… и т. Д. Системе, подключенной к Интернету, тогда ВАША система SCADA подключена к Интернет. Это делает вашу систему уязвимой для хакеров, червей и различных кибератак.

Большинство старых оригинальных систем SCADA (1960-70-х годов) работали на компьютерах с проприетарными операционными системами, разработанными поставщиками. Затем, в 1980-х, стали доступны «стандартные» коммерчески доступные операционные системы, такие как UNIX и VAX / VMS.Это значительно упростило разработку и поддержку системы. Но, как и в случае со стандартными протоколами RTU, это также позволило большой группе людей многое узнать об основных принципах работы систем, основанных на этой коммерческой технологии. В последние десять лет все большее количество систем SCADA основано на технологии операционных систем Microsoft. По ряду причин хакеры просто ОБОЖАЮТ атаковать продукты Microsoft (многие такие люди пришли из мира UNIX / LINUX), и было (и остается) большое количество известных и задокументированных «дыр» в безопасности в системе Mr.Программные продукты Гейтса. Их можно использовать, если не используются надлежащие средства защиты (например, последние пакеты обновления Microsoft).

Внутренние угрозы: Установка безопасного кибербарьера вокруг вашей системы SCADA — хорошая идея и немалые усилия. Но многие способы, которыми система SCADA может быть отключена, повреждена или использована для нанесения ущерба, включают «внутреннюю работу». Печально, но это правда, что разочарование в правительстве, карьере или даже отношениях может поставить «нормального» человека на путь причинения вреда.Взрывы в Оклахома-Сити — яркое напоминание об этом факте. Хотя мы все хотим доверять своим коллегам, менеджерам и сотрудникам, они всего лишь люди. А в экономической среде, где многие компании «уменьшились», бывшие коллеги (и бывшие сотрудники продавцов) выходят на улицу с потенциально опасными знаниями.

Внутренняя угроза может быть в форме случайного действия, которое приводит к повреждению, или умышленного действия. Хорошие процедуры безопасности должны сделать любой из них менее вероятным.Как упоминалось ранее, в этом документе не рассматривается физическая безопасность, которая включает такие темы, как контроль доступа, проверка учетных данных и наблюдение. Но процедурные вопросы безопасности являются центральным компонентом внутреннего предотвращения угроз и включают такие функции, как управление паролями и администрирование.

Существует несколько возможных сценариев нанесения ущерба системе SCADA «изнутри». Один из способов — внедрить в систему вредоносное ПО. Сотрудник, который приносит из дома неавторизованное программное обеспечение (возможно, загруженное условно-бесплатное ПО) и устанавливает его на свой настольный ПК (или ПК, который функционирует как рабочая станция оператора), имеет шанс заразить вирус, червь, троянский конь или другую форму программного обеспечения ». инфекция »во взаимосвязанные системы.Поскольку рабочие станции операторов превратились в ПК, это стало явной угрозой для систем SCADA. В зависимости от конструкции системы и ОС. серверов, результатом этого может быть только потеря конкретного ПК, или это может распространиться по системе.

Прикладные программы, работающие на центральном компьютере SCADA, часто имеют косвенный доступ к управляющим выходам полевых удаленных терминалов. (Они могут запросить, чтобы «драйверы» протокола выдавали команды так же, как операторы могут командовать ими через интерфейс рабочей станции.Определенно возможно, что человек, имеющий опыт программирования на данном продукте SCADA (доступном у поставщика системы), может разработать и внедрить прикладную программу, которая могла бы отключать выбранные сигналы тревоги и выдавать команды управления полевым устройствам (см. Рисунок 4.0 ). Вариантом этого может быть внесение изменений в существующее надзорное приложение так, чтобы оно наносило предполагаемый ущерб. Как правило, это требует подробных конкретных знаний целевой системы. Соответствующим образом мотивированный оператор потенциально мог бы делать то же самое через свою пользовательскую консоль, если бы никто не смотрел и если бы у него был пароль (хотя это не будет представлять собой «кибератаку»).Системы SCADA обычно предусматривают несколько «уровней» полномочий доступа. К сожалению, защита паролем часто бывает слабой, и только новые системы SCADA могут поддерживать двухкомпонентную аутентификацию (например, магнитную карту в дополнение к паролю).

Аналогичная атака может быть проведена в системах, где есть «настройки», которые считываются из файловых систем центрального компьютера и преобразуются в параметры и команды, которые затем отправляются в полевые RTU. В мире электроэнергетики это могут быть уставки для регулирования напряжения или команды для ограничения банков.В водном хозяйстве это могут быть уставки уровня и давления, которые меняются во время ежедневных колебаний нагрузки. Если бы эти таблицы были изменены, результаты были бы аналогичны запуску вредоносной прикладной программы.

Сотрудник с доступом к системе (и соответствующими паролями) может также запускать служебные программы системного уровня (например, файловый менеджер), которые стирают основное программное обеспечение системы и завершают работу системы. Хотя, если они не смогут сначала удалить программное обеспечение резервной системы, резервный блок немедленно возьмет на себя управление.Большинство систем SCADA имеют аппаратное обеспечение «сторожевого таймера», которое срабатывает при таких действиях, но, вероятно, только после того, как был нанесен ущерб. Эффективность такой атаки сомнительна, поскольку можно было бы надеяться, что резервные копии системы будут храниться локально (и за пределами площадки) в безопасном и защищенном месте. В большинстве случаев систему, вероятно, можно было бы полностью восстановить примерно за час, если предположить, что не было нанесено никакого физического ущерба (вероятно, это небезопасное предположение). Также становится все более распространенным, чтобы критически важные системы SCADA поддерживались системами резервного копирования, расположенными в других географических точках.Любое действие, которое полностью отключает основной сайт системы SCADA (например, землетрясение, наводнение, террористическая атака или действительно эффективная кибератака), приведет к тому, что резервный сайт перейдет под контроль.

Как часть «внешних» угроз, ранее обсуждалась возможность перепрограммирования RTU или PLC путем доступа к цепи опроса / связи. Аналогичное действие может быть предпринято в рамках внутренней атаки. Файлы, содержащие допустимые программы для RTU и PLC, могут быть заменены «злым» программным обеспечением (см. Рисунок 5.0). Это можно сделать, и файлы будут загружены немедленно, или просто заменив действующее программное обеспечение в файловой системе, «злое» программное обеспечение будет загружено в следующий момент времени, когда потребуется перезагрузка RTU или PLC (обычно нечасто). . Немедленная массовая загрузка на несколько пультов будет иметь гораздо больший эффект. Важно помнить, что не все RTU и протоколы поддерживают удаленную загрузку по каналу связи (но многие ПЛК это делают!) В нефтегазовой трубопроводной отрасли RTU нередко содержат достаточное количество логики управления последовательностью и регулирующего контроля. .Замена этой логики вредоносной или просто загрузка опасных настроек может привести к повреждению трубопроводного оборудования и операций. Опять же, такого рода атаки потребуют доступа высокого уровня, а также достаточной степени системных знаний и опыта.

Резюме:
Поставщики систем SCADA, как и большинство из нас, никогда не думали, что 11 сентября и Оклахома-Сити могут произойти. Поэтому никто не проектировал системы SCADA со встроенной защитой от кибератак. Они были разработаны так, чтобы допускать незначительные человеческие ошибки и не допускать честных.Некоторые критически важные системы SCADA спроектированы таким образом, чтобы выдерживать природные катастрофы, что снижает вероятность их полного отказа при кибератаке. Используемая сегодня системная технология SCADA гораздо более восприимчива к согласованным кибератакам, в основном из-за принятия «ИТ» технологий и «стандартов» при разработке таких систем. Многие старые системы будут почти неуязвимы для удаленных кибератак, или их будет намного сложнее атаковать с использованием обычных методов взлома. В мире ИТ разработан ряд технологий и методов для защиты ИТ-активов.Многие из этих подходов можно использовать для защиты современных систем SCADA. Все системы SCADA открыты для внутренних атак, хотя внутренняя кибератака (а не физическая атака) обычно требует высоких технических знаний о системе. Прямая атака на RTU требует физического доступа к каналам связи, но если он получен, то в этой точке доступа обычно обходятся любые / все средства защиты. Оборудование ПЛК также более уязвимо для удаленного перепрограммирования из-за внутренней конструкции этих устройств и их происхождения на заводе.

Как защитить общие уязвимости ИТ-безопасности

Специалисты в области ИТ-безопасности никогда не сталкивались с большим количеством угроз, будь то огромный рост удаленной работы или агрессивные хакеры, спонсируемые государством, вроде тех, кто причастен к взлому SolarWinds. Хотя всегда будут появляться новые дыры, которые нужно закрыть, уязвимости в системе безопасности обычно возникают по одним и тем же причинам: незащищенные уязвимости, неправильная конфигурация или ошибка пользователя, и даже самые технически подкованные компании уязвимы для этих ошибок.

Вот некоторые из наиболее распространенных уязвимостей ИТ-безопасности и способы защиты от них. Занимая проактивную позицию в отношении наиболее распространенных кибер уязвимостей и неправильных конфигураций безопасности, вы можете предотвратить множество кибератак.

Распространенные уязвимости и неправильные конфигурации

Вот несколько наиболее распространенных уязвимостей и способы защиты от них.

Отсутствует шифрование данных

Если ваши данные не зашифрованы должным образом перед хранением или передачей, ваша уязвимость перед киберугрозой возрастает.

Решение : Несмотря на то, что существует множество программных решений, которые помогут вам с шифрованием данных, вам нужно будет найти решение для шифрования, которое соответствует вашим потребностям. Кроме того, не стоит полностью полагаться на технологии. Человеческий фактор — частая причина уязвимостей этого типа, поэтому обязательно внедрите политики, проведите обучение и проведите аудит, чтобы гарантировать защиту данных.

Внедрение команды ОС

Внедрение команд ОС, или инъекция оболочки, происходит, когда злоумышленник выполняет команды операционной системы (ОС) на вашем сервере во время выполнения приложения.Эту уязвимость можно использовать для охоты на другие части вашей инфраструктуры с целью более глубокого проникновения в вашу организацию. Обычно это вызвано неправильным или полным отсутствием проверки входных данных.

Решение : Лучший способ предотвратить уязвимости, связанные с внедрением команд ОС, — это никогда не разрешать команды ОС из кода уровня приложения. Однако, если это невозможно, должны быть реализованы строгие протоколы проверки ввода, такие как проверка по белому списку разрешенных значений, проверка того, что ввод является числом, проверка того, что ввод содержит только буквенно-цифровые символы и т. Д.

Также прочтите : Лучшие инструменты безопасности Active Directory

Переполнение буфера

Большинство разработчиков программного обеспечения понимают угрозу, создаваемую переполнением буфера. Тем не менее, это является обычным явлением из-за большого разнообразия способов, которыми может произойти переполнение буфера, и часто используемых для их предотвращения методов, подверженных ошибкам.

Решение : Для серверных продуктов и библиотек старательно следите за последними отчетами об ошибках для ваших систем. Для пользовательских приложений убедитесь, что весь код от пользователей проверяется, чтобы убедиться, что он может правильно обрабатывать произвольно большие входные данные.

Отсутствует аутентификация / авторизация

Эта уязвимость вызвана недостаточной авторизацией или ограничениями аутентификации. Злоумышленники вмешиваются, чтобы воспользоваться преимуществами слабой аутентификации или ограничений привилегий.

Решение : Многие уязвимости аутентификации можно устранить, просто усилив и полностью реализовав то, что у вас есть. Помимо этого, существуют инструменты управления идентификацией и привилегированным доступом, многофакторная аутентификация и другие продукты, которые могут помочь.

Межсайтовый скриптинг и подделка

CSRF, также называемый XSS, XSRF, Sea Surf или Session Riding, заставляет веб-браузер выполнить нежелательное действие. Когда он работает, CSRF может повлиять как на бизнес, так и на его использование.

Решение : Обычно для устранения этой уязвимости используют случайно сгенерированные токены. Для защиты следующего уровня вы можете потребовать двойную отправку файлов cookie с назначенными случайными токенами, которые должны совпадать перед предоставлением доступа к приложению.

Читайте также : Как предотвратить атаки межсайтового скриптинга (XSS)

Перенаправление URL на ненадежные сайты

Перенаправления

могут позволить злоумышленникам перенаправить пользователей вашего приложения на ненадежный внешний сайт, создавая проблемы безопасности для вашего пользователя и подвергая риску вашу репутацию.

Решение : Используйте брандмауэр веб-приложений, автоматическое сканирование и обновляйте свое программное обеспечение, чтобы бороться с этой распространенной уязвимостью.

Обход пути

Обход каталога (также известный как обход пути к файлу) — распространенная уязвимость, которая позволяет потенциальному злоумышленнику читать файлы на сервере, на котором выполняется ваше приложение, например код и данные, учетные данные для серверных систем и конфиденциальные файлы ОС.

Решение : Предотвратите атаку обхода каталога, по возможности избегая передачи пользовательского ввода в API файловой системы. Если полное предотвращение невозможно, добавление нескольких уровней защиты может помочь сдержать этот тип атаки.OWASP предлагает ряд дополнительных мер защиты, а также имеет собственный заметный список уязвимостей веб-приложений.

Компании совершают типичные ошибки, которые создают уязвимости в системе безопасности, например захватывают код из общедоступных источников, таких как GitHub, Sourceforge и Bitbucket, или не могут зашифровать конфиденциальные данные. Своевременное реагирование на исправления и обновления программного обеспечения также помогает уменьшить уязвимости, на которые кибер-злоумышленники готовы охотиться.

Оценка уязвимостей, сканирование, тестирование на проникновение и управление исправлениями — важные шаги для контроля уязвимостей.Они должны проводиться регулярно, если не постоянно.

Общие сведения о неправильных настройках безопасности

Неверно настроенные веб-серверы и приложения становятся легкой мишенью для хакеров. Неправильная конфигурация может произойти на любом уровне технологического стека — от вашего веб-сервера до его базы данных и вашей инфраструктуры или виртуальных машин. Киберпреступники используют неправильную конфигурацию системы безопасности путем несанкционированного доступа к учетным записям по умолчанию, редко используемым веб-страницам, незащищенным файлам и папкам, спискам каталогов и т. Д.

Существует относительно высокая вероятность того, что в данный момент в вашей системе существуют некорректные настройки безопасности. Если вы хотите увидеть, насколько они распространены, просто посмотрите этот белый хакерский взлом Apple, сделанный несколько месяцев назад. Компании, использующие гибридный подход, состоящий из внутренних и облачных сред, могут столкнуться с наивысшим уровнем риска. Тщательное наблюдение за неправильными настройками безопасности во время частых обновлений является важным фактором защиты. Заметность и внимание являются ключевыми факторами.

Распространенные типы неправильной конфигурации безопасности

Вот некоторые распространенные неправильные конфигурации, на которые следует обратить внимание ИТ-специалистам и службам безопасности:

  1. Приложения и продукты на этапе производства в режиме отладки
  2. Запуск нежелательных служб в системе
  3. Нет правильной конфигурации для доступа к ресурсам и службам сервера
  4. Оставить ключи и пароли по умолчанию как есть
  5. Неправильное управление исключениями — может раскрыть несанкционированные данные, включая трассировки стека.
  6. Использование учетных записей по умолчанию с учетными данными по умолчанию

Как предотвратить неправильную конфигурацию безопасности

Предотвратить подобные угрозы безопасности непросто.Они не всегда очевидны и почти никогда не бывают преднамеренными. Специалист или комитет, протокол, которому нужно следовать при настройке новых веб-приложений, и сильная команда QA — все это может способствовать предотвращению.

Уязвимости и неправильная конфигурация вашей системы предлагают злоумышленникам возможность получить доступ. Это так просто. И ясно, что киберпреступники все чаще ищут эти возможности, а также все больше и больше разбираются в том, как их найти.Недостаток внимания и мер защиты от уязвимостей и неправильной конфигурации может заставить бизнес задним числом пожелать, чтобы у них были настроены протоколы для решения проблем, улучшения коммуникационных потоков в отделах и заблаговременного поиска слабых мест.

Дополнительная литература: предотвращение DDoS-атак и SQL-инъекций и многое другое

Учебники по безопасности

— одни из самых популярных статей на eSecurity Planet.

Добавить комментарий

Ваш адрес email не будет опубликован.